Se registró, creó un repositorio y comprometió el servidor: nuevo ataque contra Gogs no requiere cómplices ni permisos elevados.
Basta con la configuración estándar para que una vulnerabilidad de día cero dé a un usuario normal mucho más acceso del que le corresponde.
En Gogs, el servicio Git para alojar código y colaborar que las empresas despliegan en sus propios servidores, se ha detectado una nueva vulnerabilidad de día cero que permite a un atacante ejecutar código de forma remota en un servidor accesible desde Internet.
El problema lo descubrió el especialista sénior de Rapid7 John Burgess. Según él, la vulnerabilidad crítica está relacionada con la inyección de argumentos y aún no tiene identificador CVE. El fallo afecta a las versiones actuales Gogs 0.14.2 y 0.15.0+dev. Para el ataque se requieren credenciales de un usuario registrado normal; no se necesita acceso administrativo.
Gogs se usa como una alternativa independiente a GitHub Enterprise y GitLab. El servicio está escrito en Go y suele estar accesible desde Internet, ya que los equipos lo utilizan para trabajar a distancia con repositorios. Burgess advirtió que, con la configuración por defecto, Gogs permite el registro abierto y no limita la creación de repositorios. Por eso un atacante puede crear una cuenta, crear un repositorio, habilitar la opción de rebase antes de fusionar en la configuración y realizar el ataque sin la participación de otros usuarios.
El ataque se realiza mediante una solicitud de extracción con un nombre de rama malicioso. Esa rama permite inyectar el indicador --exec en git rebase durante la operación «Rebase antes de fusionar». Como resultado, el atacante puede ejecutar código arbitrario con los permisos del proceso Gogs.
Las consecuencias pueden ser graves: toma del servidor, lectura de todos los repositorios en la plataforma, incluidos proyectos privados de otros usuarios, extracción de hashes de contraseñas, tokens de API, claves SSH y secretos de autenticación de dos factores. También es posible moverse a otros sistemas dentro de la red y sustituir código en los repositorios alojados.
Rapid7 informó del problema a los desarrolladores de Gogs el 17 de marzo. El equipo del proyecto confirmó la recepción del informe el 28 de marzo, pero aún no ha publicado una corrección ni ha respondido a las consultas posteriores sobre el estado. Burgess relaciona el nuevo fallo con vulnerabilidades similares de inyección de argumentos que Gogs corrigió anteriormente, pero subraya que el problema actual está en una sección distinta del código, relacionada con Merge().
Shadowserver rastrea más de 2400 servidores Gogs accesibles desde Internet. La mayor parte se encuentra en Asia, y varios cientos más están alojados en Europa. Shodan muestra algo más de 1000 direcciones IP con indicios de Gogs.
El caso recuerda a la historia previa con CVE-2025-8110. A principios de diciembre, el equipo de Gogs cerró otra vulnerabilidad de ejecución remota de código (RCE) que ya se había usado en ataques contra cientos de servidores. Wiz Research identificó ese problema al investigar el compromiso de un servidor Gogs accesible desde Internet, y la CISA más tarde incluyó el CVE-2025-8110 en el catálogo de vulnerabilidades activamente explotadas y obligó a las agencias civiles federales de Estados Unidos a proteger sus sistemas.