O que aconteceu no Gogs

Foi divulgada uma vulnerabilidade crítica no Gogs, uma plataforma open source usada para hospedar repositórios Git em servidores próprios. Segundo a Rapid7, a falha tem pontuação 9.4 no CVSS, o que indica risco elevado. Até o momento descrito na fonte, o problema não possui identificador CVE e permanece sem correção, apesar de ter sido reportado ao mantenedor em 17 de março de 2026.

O ponto mais preocupante é o escopo: o ataque não exige conta administrativa. Em configurações padrão, um invasor pode criar uma conta, criar um repositório e explorar a falha sem depender da interação de outro usuário.

Como a falha funciona

O ataque usa uma combinação específica: criação de pull request, nome de branch malicioso e a opção de merge chamada “Rebase before merging”. O Git permite que o comando git rebase receba a opção --exec, que executa um comando após a reaplicação de commits. A falha ocorre quando um nome de branch é usado para injetar essa opção no processo de rebase.

Em termos simples: algo que deveria ser apenas o nome de uma ramificação do código pode ser interpretado como parte de um comando. Com isso, o servidor que roda o Gogs pode executar código escolhido pelo atacante.

Sinais de alerta

Equipes que usam Gogs devem priorizar a revisão de instâncias onde usuários comuns conseguem criar contas ou repositórios. Também é importante olhar repositórios com rebase antes do merge ativado.

• Contas recém-criadas em instâncias públicas ou semiabertas.
• Repositórios criados por usuários sem função administrativa.
• Branches com nomes incomuns, longos ou contendo parâmetros parecidos com comandos.
• Pull requests recentes usando fluxo de rebase antes do merge.
• Eventos inesperados no servidor após operações de merge.

O que fazer agora

Como a fonte informa que a falha ainda estava sem patch, a mitigação deve reduzir as condições necessárias para exploração. A primeira medida é restringir quem pode criar repositórios e quem tem permissão de escrita em projetos existentes. Em seguida, revise a disponibilidade do recurso “Rebase before merging” nos repositórios.

• Desative o rebase antes do merge onde ele não for indispensável.
• Restrinja a criação de contas e repositórios em instâncias expostas.
• Revise permissões de escrita em repositórios com rebase habilitado.
• Monitore pull requests e nomes de branches suspeitos.
• Acompanhe a publicação de correção oficial pelo mantenedor do Gogs.

Checklist pratico

1. Inventarie todas as instâncias Gogs e identifique quais aceitam cadastro ou criação de repositórios por usuários comuns.
2. Liste repositórios com “Rebase before merging” habilitado e desative o recurso quando possível.
3. Revise logs, pull requests e branches recentes em busca de nomes anormais ou tentativas de uso de parâmetros de comando.

Perguntas frequentes

A falha no Gogs exige usuário administrador?

Não. Segundo a análise citada, qualquer usuário autenticado pode explorar a falha em determinadas condições. Em instâncias padrão, a criação de conta e repositório pode ser suficiente.

Existe CVE para essa vulnerabilidade?

A fonte informa que, no momento da divulgação, a vulnerabilidade ainda não tinha identificador CVE.

O que aumenta o risco em uma instância Gogs?

O risco cresce quando usuários podem criar repositórios livremente ou quando têm permissão de escrita em repositórios com rebase antes do merge habilitado.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://thehackernews.com/2026/05/critical-gogs-rce-vulnerability-lets.html