Uma vulnerabilidade de dia zero (zero-day) no Gogs, um serviço Git de código aberto, está permitindo a execução remota de código (RCE). A falha, ainda sem um identificador CVE, foi avaliada pelos pesquisadores da Rapid7 com uma pontuação CVSS de 9.4, indicando uma gravidade crítica. A vulnerabilidade afeta quase todas as instâncias do Gogs com configurações padrão, representando um risco significativo para os usuários.
A vulnerabilidade reside no mecanismo de mesclagem de alterações através da opção "Rebase before merging". O pesquisador Jonah Burgess explica que um invasor pode criar um pull request com um nome de branch especialmente preparado e injetar o parâmetro --exec no comando git rebase. Isso permite que comandos arbitrários sejam executados no servidor. A exploração da falha não requer direitos de administrador ou a participação de outros usuários. Por padrão, o Gogs permite o registro livre e não restringe a criação de repositórios. Portanto, um atacante pode simplesmente registrar uma conta, criar seu próprio repositório, habilitar o suporte a rebase-merging e iniciar o ataque. Para explorar a vulnerabilidade, basta ter permissão de escrita em qualquer repositório onde o rebase-merging já esteja habilitado.
Um ataque bem-sucedido efetivamente significa a tomada completa do servidor. O invasor ganha a capacidade de ler todos os repositórios hospedados na instância, incluindo os privados, roubar credenciais, tokens de API, chaves SSH e segredos de autenticação de dois fatores, além de usar o servidor comprometido como um ponto de partida para avançar na rede. Além disso, é possível o vazamento de dados entre tenants: um usuário de um repositório pode obter acesso a projetos fechados de outros clientes no mesmo servidor. O pesquisador relatou o problema aos desenvolvedores do projeto em 17 de março de 2026. Os desenvolvedores confirmaram o recebimento do relatório no final de março, mas uma correção para a vulnerabilidade ainda não foi lançada. As estimativas do número de servidores vulneráveis variam. Especialistas da Rapid7 contaram cerca de 1.140 instâncias do Gogs acessíveis pela Internet, enquanto o Shadowserver monitora mais de 2.400 servidores, e o Shodan identifica mais de 1.000 endereços IP associados ao Gogs. O número real de instalações vulneráveis pode ser significativamente maior, pois muitas delas estão ocultas por trás de VPNs ou operam em redes internas de empresas. Enquanto a correção não é disponibilizada, os administradores são aconselhados a desativar o registro aberto de usuários, proibir a criação de novos repositórios e verificar as configurações de rebase-merging. Para demonstrar o problema, especialistas da Rapid7 já lançaram um módulo Metasploit que automatiza a exploração da vulnerabilidade em servidores Linux e Windows.
