Burges beschreibt, wie niedrig die Hürde für einen Angriff ist. Da Gogs die offene Registrierung in der Voreinstellung erlaubt (DISABLE_REGISTRATION = false) und kein Limit für das Anlegen von Repositories setzt (MAX_CREATION_LIMIT = -1), könne ein zunächst nicht angemeldeter Angreifer auf jeder Instanz mit Standardkonfiguration einfach ein Konto und ein Repository anlegen. Jeder registrierte Nutzer werde automatisch Eigentümer des von ihm erstellten Repositories. Das Aktivieren des Rebase-Mergens sei anschließend ein einzelner Schalter in den Einstellungen, und die gesamte Angriffskette lasse sich ohne Mitwirkung anderer Nutzer durchspielen.
Technisch nutzt der Angriff Pull Requests mit einem manipulierten Branch-Namen. Über diesen wird beim Merge-Vorgang „Rebase before merging" das Flag „–exec" in den Aufruf von git rebase eingeschleust. Dadurch lässt sich beliebiger Code ausführen – und zwar mit den Rechten des Benutzers, unter dem der Gogs-Serverprozess läuft.
Die Folgen reichen laut Burges weit: Angreifer könnten den Server kompromittieren, sämtliche Repositories der Instanz lesen – einschließlich privater Repositories anderer Nutzer –, Zugangsdaten wie Passwort-Hashes, API-Token, SSH-Schlüssel und 2FA-Geheimnisse abgreifen, auf andere im Netz erreichbare Systeme überspringen und den Code beliebiger gehosteter Repositories verändern.
Burges ordnet die Lücke in eine Reihe ähnlicher Argument-Injection-Schwachstellen ein, die Gogs in den vergangenen Jahren behoben hat, darunter CVE-2024-39933, CVE-2024-39932, CVE-2026-26194 und CVE-2024-39930. Die neue Schwachstelle betrifft jedoch einen anderen, nie gepatchten Codepfad – die Funktion Merge().
Der Forscher meldete den Fehler am 17. März an die Gogs-Maintainer. Diese bestätigten den Eingang der Meldung am 28. März, lieferten seither aber weder einen Patch noch eine Antwort auf Nachfragen zum Stand.
Wie verbreitet das Angriffsziel ist, zeigen die Zahlen des Beobachtungsdienstes Shadowserver: Er verzeichnet derzeit mehr als 2.400 öffentlich erreichbare Gogs-Server, die meisten davon in Asien (1.894) und Europa (319). Die Suchmaschine Shodan fand etwas mehr als 1.000 IP-Adressen mit einem Gogs-Fingerabdruck.
Es ist nicht der erste schwerwiegende Vorfall dieser Art. Anfang Dezember schloss das Gogs-Sicherheitsteam eine weitere RCE-Lücke (CVE-2025-8110), die in Zero-Day-Angriffen ausgenutzt wurde und zur Kompromittierung von Hunderten Servern führte. Diese Schwachstelle hatte Wiz Research bei der Untersuchung eines kompromittierten, im Internet erreichbaren Gogs-Servers im Juli entdeckt und am 17. Juli gemeldet; bestätigt wurde die Meldung erst am 30. Oktober, die Patches erschienen Anfang Januar. Am 12. Januar bestätigte die US-Behörde CISA die aktive Ausnutzung, nahm CVE-2025-8110 in ihren Katalog ausgenutzter Schwachstellen auf und verpflichtete die US-Bundesbehörden, ihre Server bis zum 2. Februar abzusichern.
