Rapid7 розкрила критичну, поки що непатчену вразливість віддаленого виконання коду в Gogs, self-hosted Git-сервісі. Найбільший ризик мають публічні або напівпублічні інстанси Gogs, адже атаці потрібен лише автентифікований обліковий запис, а типові відкриті налаштування можуть дозволити сторонній людині створити його самостійно.
Проблема пов’язана з argument injection у сценарії pull request Rebase before merging. За даними Rapid7, шкідлива назва гілки може змусити сервер передати небезпечний параметр у git rebase, що призводить до виконання команд від імені процесу Gogs. Практична відповідь полягає не в повторенні exploit-деталей, а в зменшенні доступності облікових записів і репозиторіїв до появи патча.
Кому потрібно діяти зараз
Адміністраторам варто перевірити будь-який Gogs, доступний з інтернету, спільний для кількох користувачів, відкритий для підрядників або підключений до CI/CD, build, package чи deployment-систем. Компрометація процесу Gogs може відкрити приватні репозиторії, токени, SSH-ключі, хеші паролів і код, який згодом потрапляє у production.
| Перевірка | Чому це важливо | Що зробити негайно |
|---|---|---|
| Відкрита реєстрація | Перетворює authenticated-баг на низькопороговий зовнішній шлях атаки. | Увімкніть DISABLE_REGISTRATION = true, якщо публічна реєстрація не потрібна. |
| Створення репозиторіїв | Rapid7 описує самодостатній шлях через репозиторій, створений атакувальником. | Обмежте створення репозиторіїв або задайте ліміти для ненадійних користувачів. |
| Rebase merge | Уразливий шлях прив’язаний до Rebase before merging. | Перевірте репозиторії, де write-користувачі можуть увімкнути або використати rebase merging. |
| Артефакти на сервері | Успішний RCE може залишити нові файли, змінений код або нові credentials. | Перегляньте логи Gogs, каталоги репозиторіїв, нові акаунти, токени, SSH-ключі та CI secrets. |
Що перевірити насамперед
Почніть з конфігураційного файла, який керує автентифікацією і лімітами репозиторіїв. Документація Gogs пояснює, що runtime overrides зазвичай зберігаються у custom/conf/app.ini або іншому налаштованому app.ini. Переконайтеся, що реєстрація не відкрита для всіх, а звичайні користувачі не можуть створювати репозиторії без контролю.
Потім шукайте нових користувачів, репозиторії, pull requests, назви гілок, схожі на параметри командного рядка, незрозумілі 500-помилки під час merge-операцій і неочікувані файли в server-side репозиторіях. Якщо Gogs-хост пов’язаний з CI runners або deployment automation, ротуйте токени й SSH-ключі, доступні з цього хоста.
Цей випадок варто розглядати разом з іншими ризиками developer-інфраструктури. Ми нещодавно писали про Megalodon у GitHub Actions і TrapDoor атаки на AI-конфіги; спільний висновок простий: доступ до репозиторіїв швидко стає supply-chain проблемою. Якщо є підозра, що Gogs-хост запускав невідомі файли, ізолюйте його і перевіряйте робочі станції довіреним сканером, наприклад Gridinsoft Anti-Malware, а не файлами, скопійованими із сервера.
Що робити до появи патча
- Обмежте публічну реєстрацію і створення репозиторіїв на Gogs-інстансах.
- Перевірте репозиторії, де Rebase before merging увімкнений або може бути увімкнений write-користувачами.
- Перегляньте нові акаунти, репозиторії, pull requests, невдалі merges і server-side файли репозиторіїв.
- Ротуйте токени, SSH-ключі, webhook secrets і CI/CD credentials, що зберігалися на Gogs-сервері або були доступні з нього.
- Стежте за Gogs project і advisory Rapid7, перш ніж знову відкривати ширший доступ.
RCE-ризики для developer tools не обмежуються відкритою реєстрацією. Self-hosted AI командам варто також перевірити Flowise CVE-2026-40933, де недовірений chatflow може дійти до server-side command execution через Custom MCP.
FAQ
Чи є патч для Gogs RCE?
Rapid7 повідомила 28 травня 2026 року, що на момент публікації патча від вендора не було. Обмеження реєстрації та створення репозиторіїв знижують ризик, але не замінюють виправлення.
Чи потрібні атакувальнику admin-права?
Ні. Rapid7 описує шлях, доступний автентифікованому користувачу без admin-привілеїв. Відкрита реєстрація може зробити створення такого акаунта першим кроком атаки.
Чи під ризиком приватні репозиторії?
Так. Якщо код виконується від імені процесу Gogs, дані репозиторіїв під цим процесом можуть бути прочитані або змінені, включно з приватними репозиторіями й credentials сервісу.
Джерела
- Jonah Burgess, Rapid7 Labs. “Authenticated RCE via Argument Injection in Gogs (NOT FIXED).” Rapid7, опубліковано й оновлено 28 травня 2026; переглянуто 28 травня 2026. https://www.rapid7.com/blog/post/ve-authenticated-rce-via-argument-injection-gogs-unfixed/
- Gogs project. “Configuration primer.” Gogs documentation, переглянуто 28 травня 2026. https://gogs.io/fine-tuning/configuration-primer
Ще один периметровий ризик: для GlobalProtect варто перевірити PAN-OS CVE-2026-0257, оскільки експлуатація може виглядати як успішна VPN-сесія.
Для WordPress-сайтів з картами або каталогами також варто перевірити WP Maps Pro CVE-2026-8732 і список адміністраторів після оновлення плагіна.
