Das Gogs-Projekt steht erneut im Zentrum einer kritischen Sicherheitskrise. Die nun entdeckte Sicherheitslücke nutzt eine Schwachstelle im Merge-Code aus, genauer im sogenannten Rebase-before-Merging-Feature. Durch geschickt manipulierte Branch-Namen können Angreifer das Flag “–exec” in den Git-Rebase-Prozess einschleusen und damit beliebige Kommandos ausführen.
Der Sicherheitsforscher Jonah Burges von Rapid7, der die Schwachstelle entdeckte, betont das Kernproblem: “Gogs kommt standardmäßig mit aktivierter offener Registrierung (DISABLE_REGISTRATION = false) und ohne Limits bei der Repository-Erstellung (MAX_CREATION_LIMIT = -1). Ein Angreifer muss sich lediglich anmelden und ein Repository erstellen – das ist alles, was für die vollständige Ausbeutung nötig ist.”
Die Auswirkungen sind erheblich. Gelingt der Angriff, können Cyberkriminelle alle Repositories auf der Instanz auslesen – einschließlich privater Projekte anderer Nutzer – Zugangsdaten wie Passwort-Hashes, API-Token und SSH-Schlüssel entwenden, und von dort aus ins interne Netzwerk vordringen.
Auf Burges’ Bericht vom 17. März haben die Gogs-Maintainer bis heute nicht mit einem Patch reagiert, obwohl sie den Report am 28. März bestätigten. Das ist im Kontext der Gogs-Historie besonders problematisch: Im Dezember 2024 wurde bereits eine ähnliche RCE-Lücke (CVE-2025-8110) gepatcht – damals waren hunderte Server bereits kompromittiert. CISA warnte damals ausdrücklich, dass solche Schwachstellen ein erhebliches Risiko für föderale Systeme darstellen.
Der aktuelle Zero-Day trifft auf die Versionen 0.14.2 und 0.15.0+dev. Sicherheitsforscher von Wiz warnen: Die Kombination aus einfach zu aktivierender RCE und der Standardkonfiguration mit offener Registrierung schafft eine massive Angriffsfläche.
Für Administratoren von Gogs-Installationen bleibt derzeit nur die sofortige Deaktivierung der offenen Registrierung oder das Nehmen betroffener Systeme vom Internet. Ein Patch steht noch aus – und die Zeit drängt.