Uma vulnerabilidade zero-day ainda sem correção no Gogs, serviço Git autogerenciado, pode permitir que invasores obtenham execução remota de código, ou RCE, em instâncias expostas à internet.
Criado como alternativa ao GitHub Enterprise e ao GitLab, e desenvolvido em Go, o Gogs costuma ser disponibilizado online para facilitar a colaboração remota.
A falha, de gravidade crítica, é uma injeção de argumentos e ainda não recebeu um identificador CVE.
Ela afeta as versões mais recentes, Gogs 0.14.2 e 0.15.0+dev, e só pode ser explorada por invasores autenticados, sem privilégios de administrador.
Mesmo exigindo permissões básicas de usuário, o pesquisador sênior de segurança da Rapid7, Jonah Burges, que descobriu a falha, afirmou que a vulnerabilidade atinge todos os servidores Gogs com configuração padrão.
“Como o Gogs é distribuído com o registro aberto ativado por padrão (DISABLE_REGISTRATION = false) e sem limite para criação de repositórios (MAX_CREATION_LIMIT = -1), um invasor não autenticado pode simplesmente criar uma conta e um repositório em qualquer instância configurada com os padrões”, alertou Burges na quinta-feira.
“Qualquer usuário registrado que cria um repositório se torna automaticamente seu proprietário.
A partir daí, ativar o rebase merging é apenas uma alteração nas configurações, e toda a cadeia de exploração pode ser executada sem interação de outro usuário.”
Se a exploração tiver sucesso, os invasores podem executar código arbitrário remotamente como o usuário do processo do servidor Gogs por meio de pull requests que usam um nome de branch malicioso para injetar a flag “--exec” no git rebase durante a operação de merge “Rebase before merging”.
Com isso, eles podem usar a falha para comprometer o servidor, ler todos os repositórios da instância, incluindo os repositórios privados de outros usuários, extrair credenciais, como hashes de senha, tokens de API, chaves SSH e segredos de 2FA, avançar para outros sistemas acessíveis na rede e modificar o código de qualquer repositório hospedado.
Burges acrescentou que essa vulnerabilidade é semelhante a outras falhas de injeção de argumentos, como
CVE-2024-39933
,
CVE-2024-39932
,
CVE-2026-26194
e
CVE-2024-39930
, corrigidas pelo Gogs nos últimos anos, mas afeta um caminho de código diferente, o Merge(), que nunca foi corrigido.
O pesquisador informou a falha aos mantenedores do Gogs em 17 de março, mas, até agora, eles não disponibilizaram um patch nem responderam a novos pedidos de atualização de status, embora tenham reconhecido o relatório em 28 de março.
O serviço de monitoramento de segurança da internet Shadowserver agora acompanha mais de 2.400 servidores Gogs expostos online, a maioria na Ásia, com 1.894 registros, e na Europa, com 319.
Já o Shodan encontrou pouco mais de 1.000 endereços IP com fingerprint do Gogs.
No início de dezembro, a equipe de segurança do Gogs corrigiu outra vulnerabilidade de RCE no sistema, identificada como
CVE-2025-8110
, que foi explorada em ataques zero-day para comprometer centenas de servidores.
“Muitas dessas instâncias estão configuradas com o ‘Open Registration’ ativado por padrão, o que cria uma superfície de ataque enorme”, disseram os pesquisadores de segurança da Wiz, que reportaram a falha, na época.
A Wiz Research descobriu a
CVE-2025-8110
ao investigar um servidor Gogs comprometido e exposto à internet em julho, e relatou a falha aos mantenedores do projeto em 17 de julho.
Eles reconheceram o relatório três meses depois, em 30 de outubro, e liberaram os patches para a
CVE-2025-8110
no início de janeiro.
Em 12 de janeiro, a CISA confirmou o relatório da Wiz de que a
CVE-2025-8110
estava sendo explorada ativamente e adicionou a falha ao seu catálogo de vulnerabilidades exploradas no mundo real, determinando que as agências do Federal Civilian Executive Branch, ou FCEB, protegessem seus servidores até 2 de fevereiro.
“Esse tipo de vulnerabilidade é um vetor de ataque frequente para agentes cibernéticos maliciosos e representa riscos significativos para o governo federal”, alertou a CISA na ocasião.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...