A Gogs corrigiu uma falha crítica de segurança do tipo zero-day que pode permitir que invasores comprometam instâncias expostas à Internet e acessem qualquer repositório, inclusive os privados.
A vulnerabilidade, causada por injeção de argumentos, ainda não recebeu um identificador CVE.
Ela só pode ser explorada por atacantes autenticados e sem privilégios de administrador, e afeta todas as versões do Gogs até a 0.14.2, além da 0.15.0+dev.
Com essa falha, um invasor pode comprometer o servidor-alvo, ler qualquer repositório, roubar credenciais, se mover lateralmente para outros sistemas na rede e alterar qualquer código-fonte hospedado.
Embora os threat actors precisem de ao menos privilégios básicos de usuário para explorar o problema, o pesquisador de segurança da Rapid7 Jonah Burgess, que descobriu e reportou a falha, afirmou que ela afeta todos os servidores Gogs com configurações padrão.
“Como o Gogs vem com registro aberto ativado por padrão (DISABLE_REGISTRATION = false) e sem limite para criação de repositórios (MAX_CREATION_LIMIT = -1), um invasor sem autenticação pode simplesmente criar uma conta e um repositório em qualquer instância configurada com os padrões”, alertou Burgess há duas semanas.
“Qualquer usuário registrado que cria um repositório se torna automaticamente seu proprietário.
A partir daí, ativar o rebase merge é apenas uma opção nas configurações, e toda a cadeia de exploração pode ser executada sem interação de qualquer outro usuário.”
No fim de semana, 10 dias depois de a empresa de cibersegurança divulgar publicamente o problema, após não obter resposta a várias atualizações de status, os mantenedores do Gogs lançaram a versão 0.14.3 em 7 de junho para corrigir a falha e solicitaram um identificador CVE.
“A Rapid7 recomenda que todos os usuários do Gogs atualizem imediatamente.
A correção foi implementada por meio do pull request #8301”, acrescentou Burgess.
A Rapid7 também divulgou medidas de mitigação para quem não puder aplicar o patch imediatamente.
Entre elas:
Restringir o registro de usuários, definindo DISABLE_REGISTRATION = true no app.ini, para impedir que usuários não confiáveis criem contas.
Essa é a mitigação mais eficaz, já que a exploração ocorre dentro do repositório de um único usuário.
Restringir a criação de repositórios, definindo MAX_CREATION_LIMIT = 0 no app.ini, para impedir que usuários criem seus próprios repositórios.
Isso também pode ser configurado por usuário, em Max Repo Creation, no painel de administração.
Essa medida bloqueia o caminho de ataque mais fácil, que é criar um novo repositório com rebase ativado, mas não impede a exploração por usuários com permissão de escrita em repositórios já existentes.
Auditar as configurações de rebase merge.
Embora a opção “Rebase before merging” possa ser desativada por repositório em Settings > Advanced, isso não é uma defesa eficaz contra um usuário malicioso que seja dono do repositório ou tenha acesso de administrador, já que ele pode reativar o rebase quando quiser.
Escrito em Go e projetado como alternativa ao GitHub Enterprise ou ao GitLab, o Gogs costuma ser exposto na Internet como plataforma de colaboração remota.
O serviço de monitoramento Shadowserver acompanha atualmente mais de 2.300 servidores Gogs expostos à Internet, a maioria na Ásia, com 1.839, e na Europa, com 312.
Já o Shodan lista pouco mais de 1.000 endereços IP com identificação do Gogs.
Burgess também afirmou que essa falha é muito parecida com outras vulnerabilidades de injeção de argumentos corrigidas pela equipe de segurança do Gogs nos últimos anos, como
CVE-2024-39933
,
CVE-2024-39932
,
CVE-2026-26194
e
CVE-2024-39930
, mas afeta um caminho de código diferente, o Merge(), que nunca havia sido tratado.
No início de dezembro de 2026, o Gogs corrigiu outra vulnerabilidade de RCE, identificada como
CVE-2025-8110
, depois que ela foi explorada em ataques zero-day para comprometer centenas de servidores.
“Muitas dessas instâncias estão configuradas com ‘Open Registration’ ativado por padrão, o que cria uma superfície de ataque enorme”, disseram os pesquisadores de segurança da Wiz, que reportaram a falha.
Em 12 de janeiro, a CISA confirmou que a
CVE-2025-8110
estava sendo explorada em ambiente real e a adicionou ao catálogo de vulnerabilidades ativamente abusadas, determinando que as agências civis federais do Executivo dos EUA protegessem seus servidores em até três semanas, com prazo até 2 de fevereiro.
“Esse tipo de vulnerabilidade é um vetor de ataque frequente para agentes cibernéticos maliciosos e representa riscos significativos para o ambiente federal”, alertou a CISA na ocasião.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...