Bei der von Rapid7 beschriebenen Schwachstelle handelt es sich um eine Argument-Injection-Lücke. Sie greift beim Zusammenführungsvorgang „Rebase vor dem Zusammenführen": Während ein gewöhnliches Zusammenführen einen Merge-Commit erzeugt, der zwei Branch-Historien verbindet, spielt ein Rebase die Commits des Head-Branches auf dem Basis-Branch erneut ab, um eine lineare Historie herzustellen.

Beim Rebase übergibt die Merge-Funktion den Namen des Basis-Branches an „git rebase", ohne zu verhindern, dass nachfolgende Argumente als Optionen interpretiert werden. Weil ausreichende Prüfungen und eine Bereinigung gegen Argument-Injection fehlen und „git rebase" die Option „–exec" akzeptiert – die Gogs anweist, nach jedem abgespielten Commit einen Shell-Befehl auszuführen –, können Angreifer bösartige Argumente in Branch-Namen unterbringen, die dann nach jedem abgespielten Commit ausgeführt werden.

Der Vorgang „Rebase vor dem Zusammenführen" ist standardmäßig nicht aktiviert, kann aber von jedem Repository-Eigentümer oder Administrator mit einem einzigen Schalter in den Einstellungen eingeschaltet werden. Da jeder registrierte Nutzer automatisch Eigentümer der von ihm erstellten Repositories wird, lässt sich die gesamte Angriffskette ohne Mitwirkung anderer Nutzer durchführen. Auch Angreifer mit Schreibzugriff auf Repositories, in denen Rebase aktiviert ist, können die Lücke direkt ausnutzen.

Das Ergebnis ist laut Rapid7 die beliebige Befehlsausführung als Nutzer des Gogs-Serverprozesses. Damit könne ein Angreifer den Server kompromittieren, sämtliche Repositories der Instanz lesen – einschließlich privater Repositories anderer Nutzer –, Zugangsdaten abgreifen (Passwort-Hashes, API-Token, SSH-Schlüssel, 2FA-Geheimnisse), zu anderen über das Netzwerk erreichbaren Systemen weiterspringen und den Code beliebiger gehosteter Repositories verändern.

Betroffen sind nach Angaben des Sicherheitsunternehmens Gogs-Server unter Windows, Linux und macOS, die mit Standardkonfiguration laufen. Am stärksten gefährdet sind Instanzen mit mehreren Nutzerkonten, wie sie in vielen Organisationen üblich sind.

Rapid7 hat ein Metasploit-Modul veröffentlicht, das die vollständige Angriffskette automatisiert, sowie Kompromittierungsindikatoren (IoCs), mit denen Verteidiger nach möglichen Kompromittierungen suchen können. Die Gogs-Betreuer wurden Mitte März über den Sicherheitsmangel informiert; sie bestätigten den Eingang des Berichts, ein Patch wurde bis zur Veröffentlichung jedoch nicht bereitgestellt.

Es ist die zweite öffentlich bekannt gewordene Zero-Day-Lücke in Gogs im vergangenen halben Jahr. Wiz hatte CVE-2025-8110 beschrieben, einen Fehler bei der Behandlung symbolischer Verknüpfungen, der über Monate als Zero-Day ausgenutzt worden war.