Gogs menambal zero-day kritis yang memungkinkan eksekusi kode jarak jauh

Gogs telah menambal kelemahan keamanan zero-day kritis yang memungkinkan penyerang menyusupi instance yang terhubung ke Internet dan mengakses repositori apa pun (termasuk repositori pribadi).

Ini injeksi argumen kerentanan belum diberi ID CVE, hanya dapat dieksploitasi oleh penyerang terautentikasi tanpa hak istimewa admin, dan memengaruhi semua rilis Gogs hingga dan termasuk 0.14.2 dan 0.15.0+dev.

Mereka dapat mengeksploitasi kerentanan ini untuk menyusupi server yang ditargetkan, membaca repositori apa pun (termasuk repositori pribadi), mencuri kredensial, berpindah secara lateral ke sistem lain di jaringan, dan mengubah kode sumber yang dihosting.

Meskipun pelaku ancaman memerlukan setidaknya hak dasar pengguna untuk mengeksploitasi kelemahan tersebut, peneliti keamanan Rapid7 Jonah Burgess (yang menemukan dan melaporkannya) mengatakan itu mempengaruhi semua server Gogs dengan konfigurasi default.

“Karena Gogs dikirimkan dengan registrasi terbuka yang diaktifkan secara default (DISABLE_REGISTRATION = false) dan tidak ada batasan pada pembuatan repositori (MAX_CREATION_LIMIT = -1), penyerang yang tidak diautentikasi dapat dengan mudah membuat akun dan repositori pada instance yang dikonfigurasi secara default,” Burgess memperingatkan dua minggu lalu.

“Setiap pengguna terdaftar yang membuat repo secara otomatis menjadi pemiliknya. Dari sana, mengaktifkan penggabungan rebase hanya dengan satu tombol dalam pengaturan, dan seluruh rantai eksploitasi dapat dioperasikan tanpa interaksi dari pengguna lain mana pun.”

Selama akhir pekan, 10 hari setelah perusahaan keamanan siber mengungkapkannya secara publik menyusul kurangnya respons terhadap beberapa pembaruan status, pengelola Gogs merilis versi 0.14.3 pada 7 Juni untuk menambal kelemahan ini dan meminta ID CVE.

“Rapid7 merekomendasikan agar semua pengguna Gogs segera melakukan upgrade. Perbaikan diterapkan melalui tarik permintaan #8301“tambah Burgess.

Rapid7 juga membagikan langkah-langkah mitigasi bagi pengguna yang tidak dapat segera melakukan patch pada instance Gogs mereka, yang mengharuskan mereka untuk:

• Batasi pendaftaran pengguna (DISABLE_REGISTRATION = true di app.ini) untuk mencegah pengguna yang tidak dipercaya membuat akun. Ini adalah mitigasi yang paling berdampak karena eksploitasi dilakukan secara mandiri dalam repositori pengguna tunggal.
• Batasi pembuatan repositori (MAX_CREATION_LIMIT = 0 di app.ini) untuk mencegah pengguna membuat repo mereka sendiri. Ini juga dapat diatur per pengguna melalui Max Repo Creation di panel admin. Ini memblokir jalur serangan termudah (membuat repo baru dengan rebase diaktifkan), namun tidak mencegah eksploitasi oleh pengguna dengan akses tulis ke repositori yang ada.
• Audit pengaturan penggabungan rebase: Meskipun “Rebase sebelum penggabungan” dapat dinonaktifkan per-repo di bawah Pengaturan > Lanjutan, perhatikan bahwa ini bukan pertahanan yang efektif terhadap pengguna jahat yang memiliki atau memiliki akses admin ke repo, karena mereka dapat mengaktifkan kembali rebase sesuka hati.

Ditulis dalam Go dan dirancang sebagai alternatif dari GitHub Enterprise atau GitLab, Gogs sering kali diekspos secara online sebagai platform kolaborasi jarak jauh.

Pengawas keamanan internet Shadowserver saat ini melacak lebih dari 2.300 server Gogs yang terekspos Internetsebagian besar berada di Asia (1.839) dan Eropa (312), sedangkan Shodan mencantumkan lebih dari 1.000 alamat IP dengan sidik jari Gogs.

Burgess juga mengatakan bahwa kelemahan ini sangat mirip dengan kelemahan injeksi argumen lainnya yang telah diperbaiki oleh tim keamanan Gogs dalam beberapa tahun terakhir (misalnya, CVE-2024-39933, CVE-2024-39932, CVE-2026-26194Dan CVE-2024-39930), namun hal ini memengaruhi jalur kode berbeda (Merge()) yang tidak pernah ditangani.

Pada awal Desember 2026, Gogs menambal kerentanan RCE lainnya (CVE-2025-8110) setelah itu dieksploitasi dalam serangan zero-day untuk mengkompromikan ratusan server.

“Banyak dari contoh ini dikonfigurasi dengan ‘Pendaftaran Terbuka’ yang diaktifkan secara default, sehingga menciptakan permukaan serangan besar-besaran,” kata peneliti keamanan Wiz (yang melaporkan kelemahan tersebut).

Pada 12 Januari, CISA dikonfirmasi bahwa CVE-2025-8110 disalahgunakan di alam liar dan menambahkannya ke dalam katalog kerentanan yang dieksploitasi secara aktif, dan memerintahkan badan-badan Cabang Eksekutif Sipil Federal (FCEB) untuk mengamankan server mereka dalam waktu tiga minggu, paling lambat tanggal 2 Februari.

“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” CISA memperingatkan pada saat itu.