Een onbehandelde zero-day kwetsbaarheid in de zelfgehoste Git-service Gogs stelt aanvallers in staat om remote code execution (RCE) uit te voeren op internet-blootgestelde instanties. Gogs, geschreven in Go en bedoeld als alternatief voor GitHub Enterprise of GitLab, wordt vaak online gebruikt voor samenwerking op afstand. De kritieke kwetsbaarheid betreft een argumentinjectie in de Merge()-functie en is nog niet voorzien van een CVE-identificatie. De kwetsbaarheid treft de nieuwste versies (Gogs 0.14.2 en 0.15.0+dev) en kan alleen worden misbruikt door geauthenticeerde gebruikers zonder adminrechten.

Ondanks dat er basisgebruikersrechten nodig zijn, waarschuwt senior security researcher Jonah Burges van Rapid7 dat alle Gogs-servers met standaardconfiguraties kwetsbaar zijn. Dit komt doordat Gogs standaard open registratie toestaat (DISABLE_REGISTRATION = false) en geen limiet stelt aan het aantal repositories (MAX_CREATION_LIMIT = -1). Hierdoor kan een aanvaller eenvoudig een account en repository aanmaken op elke standaard geconfigureerde instantie. Elke geregistreerde gebruiker die een repository aanmaakt, wordt automatisch eigenaar. Vervolgens kan de aanvaller met een enkele instelling, het inschakelen van rebase merging, de volledige exploitketen uitvoeren zonder interactie van andere gebruikers, aldus Burges.

Bij succesvolle exploitatie kunnen aanvallers willekeurige code uitvoeren als de gebruiker van het Gogs-serverproces via pull requests die een kwaadaardige branchnaam gebruiken om de "--exec"-vlag in git rebase te injecteren tijdens de "Rebase before merging"-operatie. Hiermee kunnen zij de server compromitteren, alle repositories lezen (inclusief privé-repositories van andere gebruikers), credentials zoals wachtwoordhashes, API-tokens, SSH-sleutels en 2FA-secrets uitlezen, laterale beweging maken naar andere systemen in het netwerk en code in gehoste repositories aanpassen.

Burges gaf aan dat deze kwetsbaarheid vergelijkbaar is met eerdere argumentinjectieproblemen zoals CVE-2024-39933, CVE-2024-39932, CVE-2026-26194 en CVE-2024-39930, maar dat deze een ander, nooit eerder gepatcht codepad betreft. De kwetsbaarheid werd op 17 maart gemeld aan de Gogs-onderhouders, die de melding op 28 maart bevestigden, maar nog geen patch hebben uitgebracht of statusupdates hebben gegeven.

De internetbeveiligingsorganisatie Shadowserver monitort inmiddels meer dan 2.400 Gogs-servers die online staan, voornamelijk in Azië (1.894) en Europa (319). Daarnaast heeft Shodan ruim 1.000 IP-adressen met een Gogs-fingerprint gevonden.

In december vorig jaar werd een andere kritieke RCE-kwetsbaarheid in Gogs (CVE-2025-8110) gepatcht, die actief werd misbruikt in zero-day aanvallen om honderden servers te compromitteren. Die kwetsbaarheid werd ontdekt door Wiz security researchers en leidde tot een waarschuwing van CISA, die de federale overheid opdroeg hun servers uiterlijk 2 februari te beveiligen. De patch voor CVE-2025-8110 werd begin januari uitgebracht door Gogs.