O **Gogs**, projetado como uma alternativa ao **GitHub Enterprise** ou **GitLab** e escrito em Go, é frequentemente exposto online para colaboração remota. Isso o torna um alvo principal para atacantes. ### A Vulnerabilidade Esta falha de segurança de injeção de argumento de severidade crítica ainda não recebeu um ID **CVE**. Ela afeta as versões mais recentes lançadas (**Gogs 0.14.2** e **0.15.0+dev**). De acordo com **Jonah Burgess**, pesquisador sênior de segurança da **Rapid7**, a vulnerabilidade afeta todos os servidores **Gogs** com configurações padrão. "Como o **Gogs** vem com registro aberto habilitado por padrão (DISABLE_REGISTRATION = false) e sem limite de criação de repositório (MAX_CREATION_LIMIT = -1), um atacante não autenticado pode simplesmente criar uma conta e um repositório em qualquer instância configurada por padrão", alertou **Burgess**. Essencialmente, qualquer usuário registrado que cria um repositório se torna automaticamente seu proprietário. Habilitar a mesclagem por rebase se torna uma simples opção nas configurações, permitindo que toda a cadeia de exploração seja executada sem interação adicional do usuário. ### Impacto A exploração bem-sucedida permite que atacantes executem código arbitrário remotamente como o usuário do processo do servidor **Gogs**. Isso é alcançado por meio de pull requests que usam um nome de branch malicioso para injetar o flag `--exec` em `git rebase` durante a operação "Rebase antes de mesclar". Atacantes podem alavancar essa falha para: * Comprometer o servidor. * Ler todos os repositórios na instância (incluindo repositórios privados de outros usuários). * Extrair credenciais (hashes de senha, tokens de API, chaves SSH, segredos de 2FA). * Fazer pivot para outros sistemas acessíveis na rede. * Modificar o código de qualquer repositório hospedado. **Burgess** observa que esta vulnerabilidade é semelhante a outras falhas de injeção de argumento (por exemplo, **CVE-2024-39933**, **CVE-2024-39932**, **CVE-2026-26194** e **CVE-2024-39930**) abordadas anteriormente pelo **Gogs**, mas afeta um caminho de código diferente (`Merge()`) que permanece sem correção. ### Falta de Correção e Exposição O pesquisador relatou a falha de segurança aos mantenedores do **Gogs** em 17 de março. Embora o relatório tenha sido reconhecido em 28 de março, um patch não foi lançado e nenhuma atualização de status foi fornecida. A **Shadowserver** atualmente rastreia mais de 2.400 servidores **Gogs** expostos online, com uma concentração significativa na Ásia (1.894) e Europa (319). O **Shodan** identifica pouco mais de 1.000 endereços IP com uma impressão digital **Gogs**.  *Servidores Gogs expostos online (ShadowServer)* ### Vulnerabilidades Anteriores Em dezembro, a equipe de segurança do **Gogs** corrigiu outra vulnerabilidade de RCE no **Gogs** (**CVE-2025-8110**) que foi explorada em ataques zero-day para comprometer centenas de servidores. Pesquisadores de segurança da **Wiz**, que relataram essa falha, destacaram a configuração generalizada de "Registro Aberto", que cria uma superfície de ataque substancial. A **Wiz Research** descobriu a **CVE-2025-8110** enquanto investigava um servidor **Gogs** exposto à internet comprometido. Após relatar a vulnerabilidade em julho, correções foram lançadas no início de janeiro. Em 12 de janeiro, a **CISA** confirmou a exploração ativa da **CVE-2025-8110** e a adicionou ao seu catálogo de vulnerabilidades exploradas conhecidas. Agências do Ramo Executivo Civil Federal (FCEB) foram obrigadas a proteger seus servidores até 2 de fevereiro. "Este tipo de vulnerabilidade é um vetor de ataque frequente para atores cibernéticos maliciosos e representa riscos significativos para a empresa federal", alertou a **CISA**.