hu, 28 May 2026
← VoltarUsuários autenticados podem obter execução remota de código por meio de nomes de ramificações maliciosas em solicitações pull do Gogs.
Uma vulnerabilidade crítica de segurança foi divulgada no Gogs, um popular serviço Git auto-hospedado de código aberto, que permite que um usuário autenticado execute código arbitrário sob certas condições. A falha de segurança, de acordo com Rapid7, é classificada como 9,4 no sistema de pontuação CVSS. Não possui um identificador CVE. “A vulnerabilidade permite que qualquer usuário autenticado obtenha execução remota de código (RCE) no servidor, criando uma solicitação pull com um nome de branch malicioso que injeta o sinalizador --exec no git rebase durante a operação de mesclagem ‘Rebase antes da fusão’”, disse o pesquisador de segurança Jonah Burgess.
Rebase é uma ação do Git usada para pegar uma sequência de commits de uma ramificação de recurso e reproduzi-los em outra ramificação base para criar um histórico linear do projeto. Enquanto "git rebase" resolve o mesmo problema que "git merge" - ou seja, integrando alterações de um branch em outro - o primeiro reescreve o histórico do projeto criando novos commits para cada commit no branch original. A ação "git rebase" também aceita como argumento um comando shell por meio de um sinalizador --exec que é executado após cada commit ser reproduzido. Um aspecto notável da vulnerabilidade é que ela não requer privilégios de administrador ou interação com outros usuários.
Para realizar o ataque, tudo o que um agente de ameaça não autenticado precisa fazer é criar uma conta e um repositório em qualquer instância configurada por padrão. “Qualquer usuário registrado que crie um repositório é automaticamente seu proprietário”, disse Burgess. “A partir daí, habilitar a fusão de rebase é uma única alternância nas configurações, e toda a cadeia de exploração pode ser operada sem interação de qualquer outro usuário.” Em um cenário alternativo, um usuário com acesso de gravação a um repositório onde o rebase já está habilitado pode explorar a falha diretamente para obter a execução do código. Nas instâncias do Gogs em que a criação de repositório é restrita, é necessário que um invasor tenha acesso de gravação a qualquer repositório que tenha a mesclagem de rebase habilitada.
No momento da escrita, a vulnerabilidade permanece sem correção, apesar de ter sido relatada ao mantenedor em 17 de março de 2026. A exploração bem-sucedida do bug poderia conceder a um invasor a capacidade de violar o servidor, acessar todos os repositórios na instância, despejar credenciais, mover para outros sistemas acessíveis pela rede e adulterar o código de qualquer repositório hospedado. Além do mais, pode resultar em uma violação de dados entre locatários, permitindo que o invasor leia os repositórios privados de outros usuários hospedados no mesmo servidor compartilhado. Segundo Rapid7, a falha afeta todas as plataformas suportadas, como Windows, Linux e macOS.
Existem cerca de 1.141 instâncias de Gogs voltadas para a Internet. No entanto, espera-se que o número real seja mais elevado, dado que a maioria das implementações são colocadas atrás de VPNs ou redes internas. Na ausência de um patch, as seguintes recomendações são descritas - Rapid7 também criou um módulo Metasploit que automatiza toda a cadeia de exploração em alvos Linux e Windows. O módulo suporta dois modos: um modo padrão onde um repositório temporário é criado na conta do invasor, a exploração é executada e o repositório é excluído.
A segunda abordagem tem como alvo um repositório ao qual o invasor já tem acesso de gravação e mesclagem. “Quando o invasor cria e exclui seu próprio repositório, o único rastro é um HTTP 500 nos logs do servidor”, disse o especialista em segurança cibernética. "Ao explorar um repositório existente, permanecem artefatos adicionais." Aprenda estratégias práticas para detectar e defender-se contra ameaças cibernéticas além das vulnerabilidades de dia zero. Aprenda como validar resultados de pentesting automatizados para tomar decisões de segurança precisas.
Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.