CEVIU Logo
Voltar

Vulnerabilidade crítica de RCE no Gogs segue sem correção e já tem módulo Metasploit disponível

Aprofundamento CEVIU

Aprofundamento

A falha no Gogs não é uma RCE genérica: é uma injeção de argumento precisa na função Merge(), onde nomes de branch maliciosos como main--exec='sh -c "id > /tmp/pwn"' escapam o separador -- do comando git rebase. Isso aciona execução arbitrária via --exec, recurso do Git que já foi explorado em outras ferramentas como GitLab e Gitea. Diferente de vulnerabilidades não autenticadas como a do Kopia (CVE-2026-45695) ou do Palo Alto GlobalProtect, essa exige apenas uma conta válida, e como o Gogs mantém registro aberto por padrão, um atacante pode se autenticar com uma única requisição HTTP POST para /user/register, criar um repositório e disparar o exploit em menos de 30 segundos.

O módulo Metasploit da Rapid7 já opera contra Linux e Windows, com dois vetores: own_repo (criação de repositório temporário) e existing_repo (exploração direta em repositórios com acesso de escrita). A ausência de CVE e de resposta dos mantenedores desde 17 de março, mesmo após confirmação de recebimento em 28 de março, reforça um padrão crônico: o Gogs acumula falhas de injeção de argumento desde 2024 (CVE-2024-39933, CVE-2024-39932), além de uma vulnerabilidade zero-day de sobrescrita de arquivos explorada por meses em dezembro de 2025 (CVE-2025-8110) e outra RCE de LFS divulgada em março de 2026 (CVE-2026-25921).

O que mudou

Em maio de 2026, o Gogs ainda não tinha patch para falhas críticas divulgadas anteriormente, como a CVE-2026-25921 (RCE via LFS) e a CVE-2025-8110 (zero-day de link simbólico). Agora, a nova falha de injeção em Merge() mostra que o mesmo caminho de código permaneceu sem revisão. O que era rumor em abril, que os mantenedores estavam paralisados em correções estruturais, virou realidade: nenhuma atualização, nenhum aviso público, nenhuma timeline de correção. Enquanto isso, o módulo Metasploit está disponível e instâncias expostas já foram identificadas em 1.141 servidores no Shodan, número que não inclui ambientes internos ou atrás de VPNs, onde o risco de pivô é maior.

Por que isso importa

Empresas que usam Gogs como alternativa leve ao GitLab ou GitHub precisam agir agora: não há workaround seguro que preserve funcionalidade completa. Desabilitar 'Rebase before merging' não resolve, o atacante reativa a opção. Restringir criação de repositórios impede apenas parte do vetor. A única mitigação eficaz é desativar o registro de usuários e auditar quem tem acesso de escrita a repositórios existentes. Isso revela um problema mais profundo: ferramentas open-source de infraestrutura crítica continuam sendo mantidas com recursos insuficientes, mesmo quando acumulam múltiplas RCEs em poucos meses. Para equipes de segurança, isso significa priorizar escaneamento contínuo de versões (Gogs 0.14.2 e 0.15.0+dev são alvos confirmados) e bloqueio de tráfego suspeito em endpoints como /pull/merge e /api/v1/repos/{owner}/{repo}/pulls.

Linha do tempo

  1. Divulgação da CVE-2025-8110, falha zero-day de manipulação de links simbólicos no Gogs explorada por meses

  2. Divulgação da CVE-2026-25921, RCE crítica via sobrescrita de objetos LFS entre repositórios

  3. Divulgação pública da falha de injeção de argumento em Merge(), sem patch e sem CVE atribuída

  4. Disponibilização do módulo Metasploit e alerta de exploração ativa em instâncias expostas

Perguntas frequentes

Posso simplesmente desligar a opção 'Rebase before merging' para me proteger?

Não. Um usuário com acesso de escrita a um repositório pode reativar essa opção nas configurações do próprio repositório. A falha está na lógica de execução do comando git, não no estado da configuração.

O módulo Metasploit funciona em todas as versões afetadas?

Sim, mas com restrições: ele suporta exploração automática em Linux e Windows. Em macOS, o módulo ainda não é compatível devido a diferenças no comportamento do shell e do Git. A exploração manual, porém, é viável em todos os sistemas.

Por que não há CVE atribuída para essa vulnerabilidade?

A MITRE ainda não recebeu solicitação oficial de reserva de CVE pelos mantenedores do Gogs. Como o projeto não respondeu ao relatório da Rapid7, a atribuição depende de terceiros, e até 1º de junho de 2026, ninguém fez esse pedido formal.

Essa falha é parecida com as RCEs recentes no Flowise e no Kopia?

Tecnicamente, não. Flowise sofre com serialização insegura (CVE-2026-40933), Kopia com injeção em ProxyCommand SSH (CVE-2026-45695). A do Gogs é uma injeção de argumento clássica em chamada de sistema, mais simples, mais difícil de detectar e mais fácil de explorar com payloads mínimos.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
01 de junho de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser
Vulnerabilidade crítica de RCE no Gogs segue sem correção