Kerentanan zero-day yang belum ditambal pada layanan Git yang dihosting sendiri oleh Gogs dapat memungkinkan penyerang mendapatkan eksekusi kode jarak jauh (RCE) pada instans yang terhubung ke Internet.
Dirancang sebagai alternatif dari GitHub Enterprise atau GitLab dan ditulis dalam Go, Gogs sering kali diekspos secara online untuk kolaborasi jarak jauh.
Tingkat keparahan kritis ini injeksi argumen kelemahan keamanan belum diberi ID CVE, memengaruhi versi rilis terbaru (Gogs 0.14.2 dan 0.15.0+dev), dan hanya dapat dieksploitasi oleh penyerang terautentikasi tanpa hak istimewa admin.
Namun, meskipun memerlukan hak pengguna dasar untuk mengeksploitasinya, peneliti keamanan senior Rapid7 Jonah Burges (yang menemukan kelemahan tersebut) mengatakan kerentanan tersebut mempengaruhi semua server Gogs dengan konfigurasi default.
“Karena Gogs dikirimkan dengan registrasi terbuka yang diaktifkan secara default (DISABLE_REGISTRATION = false) dan tidak ada batasan pada pembuatan repositori (MAX_CREATION_LIMIT = -1), penyerang yang tidak diautentikasi dapat dengan mudah membuat akun dan repositori pada instance yang dikonfigurasi secara default,” Burges memperingatkan pada hari Kamis.
“Setiap pengguna terdaftar yang membuat repo secara otomatis menjadi pemiliknya. Dari sana, mengaktifkan penggabungan rebase hanya dengan satu tombol dalam pengaturan, dan seluruh rantai eksploitasi dapat dioperasikan tanpa interaksi dari pengguna lain mana pun.”
Eksploitasi yang berhasil memungkinkan penyerang untuk mengeksekusi kode arbitrer dari jarak jauh saat server Gogs memproses pengguna melalui permintaan tarik yang menggunakan nama cabang berbahaya untuk menyuntikkan –eksekutif bendera ke dalam git rebase selama operasi penggabungan “Rebase sebelum penggabungan”.
Mereka dapat menyalahgunakan kelemahan keamanan ini “untuk menyusupi server, membaca setiap repositori di instance (termasuk repo pribadi pengguna lain), membuang kredensial (hash kata sandi, token API, kunci SSH, rahasia 2FA), beralih ke sistem lain yang dapat diakses jaringan, dan memodifikasi kode repositori yang dihosting.”
Burges menambahkan bahwa kerentanan ini mirip dengan kelemahan injeksi argumen lainnya (misalnya, CVE-2024-39933, CVE-2024-39932, CVE-2026-26194Dan CVE-2024-39930) ditangani oleh Gogs dalam beberapa tahun terakhir, tetapi memengaruhi jalur kode berbeda (Merge()) yang tidak pernah ditambal.
Peneliti melaporkan kelemahan keamanan tersebut kepada pengelola Gogs pada tanggal 17 Maret, namun mereka belum memberikan patch atau menanggapi permintaan lebih lanjut untuk pembaruan status, meskipun telah mengakui laporan tersebut pada tanggal 28 Maret.
Pengawas keamanan internet Shadowserver sekarang melacak lebih dari 2.400 server Gogs diekspos secara online, sebagian besar di Asia (1.894) dan Eropa (319), sedangkan Shodan menemukan lebih dari 1.000 alamat IP dengan sidik jari Gogs.
Pada awal Desember, tim keamanan Gogs menambal kerentanan Gogs RCE lainnya (CVE-2025-8110) itu tadi dieksploitasi dalam serangan zero-day untuk mengkompromikan ratusan server.
“Banyak dari contoh ini dikonfigurasikan dengan ‘Pendaftaran Terbuka’ yang diaktifkan secara default, sehingga menciptakan permukaan serangan besar-besaran,” kata peneliti keamanan Wiz (yang melaporkan kelemahan tersebut) pada saat itu.
Wiz Research menemukan CVE-2025-8110 saat menyelidiki server Gogs yang terhubung ke Internet pada bulan Juli dan melaporkan kelemahan tersebut kepada pengelola Gogs pada tanggal 17 Juli. Mereka mengakui laporan Wiz tiga bulan kemudian, pada tanggal 30 Oktober, dan merilis patch CVE-2025-8110 di awal bulan Januari.
Pada 12 Januari, CISA mengkonfirmasi laporan Wiz bahwa CVE-2025-8110 sedang dalam eksploitasi aktif dan menambahkan kelemahan keamanan ke dalam katalog kerentanan yang dieksploitasi secara liar, memerintahkan badan-badan Cabang Eksekutif Sipil Federal (FCEB) untuk mengamankan server mereka pada tanggal 2 Februari.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” CISA memperingatkan pada saat itu.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
