Uma vulnerabilidade zero-day crítica no Gogs, um serviço de Git auto-alojado, permite que atacantes executem código remotamente em instâncias expostas à internet, segundo os detalhes revelados pela Rapid7. Esta falha de injeção de argumentos ainda não recebeu um identificador CVE e afeta as versões mais recentes da plataforma, representando um risco severo para os administradores.
Embora a exploração exija que o atacante esteja autenticado e não possua privilégios de administração, a configuração padrão do Gogs agrava consideravelmente o cenário. O investigador Jonah Burgess descobriu que o serviço traz o registo aberto por defeito e não impõe limites na criação de repositórios. Isto significa que qualquer pessoa pode criar uma conta numa instância mal configurada sem necessidade de interação ou aprovação de outros utilizadores.
Impacto profundo nos sistemas expostos
Ao criar um repositório, o atacante torna-se automaticamente o proprietário do mesmo. A partir daí, basta ativar a funcionalidade de união por rebase nas definições. Este processo permite injetar um comando malicioso durante a operação, levando à execução de código arbitrário na máquina. Com este acesso, é possível comprometer toda a infraestrutura, ler repositórios privados de outros programadores, extrair dados sensíveis como palavras-passe e chaves SSH, ou até aceder a outros equipamentos na mesma rede.
O problema reside num caminho de código específico que nunca foi corrigido, apesar de a plataforma ter resolvido injeções de argumentos semelhantes nos últimos anos.
Falta de correção agrava histórico de problemas
Burgess comunicou o problema aos responsáveis pelo Gogs a 17 de março. Apesar de a equipa ter reconhecido o relatório a 28 de março, ainda não foi lançada qualquer correção ou atualização de estado para proteger os administradores. A plataforma Shadowserver indica que existem mais de 2400 servidores Gogs acessíveis online, com a grande maioria localizada na Ásia e na Europa.
Esta situação junta-se a um histórico recente de problemas na popular alternativa ao GitHub e GitLab. No início do ano, a equipa de segurança corrigiu a vulnerabilidade CVE-2025-8110, que estava a ser explorada de forma ativa para comprometer centenas de servidores. Na altura, os investigadores da Wiz também alertaram para os perigos da configuração de registo aberto, e a CISA ordenou que as agências federais protegessem os seus equipamentos de forma imediata contra estes vetores de ataque frequentes.
Nenhum comentário
Seja o primeiro!