Kritische Zero-Day-Lücke in Gogs: Server ungeschützt – und kein Patch in Sicht

Dieses Versäumnis bedeutet: Benennt ein Angreifer seinen Branch etwa

--exec='bösartiger Befehl'

git rebase

Die Attacke im Überblick:

• Erforderlicher Zugang: Jedes standardmäßige, authentifizierte Benutzerkonto. Administratorrechte sind nicht nötig .
• Angriffsvektor: Ein speziell präparierter Pull-Request mit einem bösartigen Branch-Namen .
• Schadcode-Nutzlast: Der Angreifer injiziert den --exec-Flag, gefolgt von seinem gewünschten Shell-Befehl .
• Betroffene Versionen: Die aktuellsten Veröffentlichungen Gogs 0.14.2 und 0.15.0+dev sind nachweislich verwundbar .
• Status: Ungepatcht. Mit Stand der Veröffentlichung am 27. Mai 2026 hat die Lücke keine CVE-Nummer .

Der Sicherheitsforscher Jonah Burgess von Rapid7 Labs, der die Lücke entdeckte, erklärte den Mechanismus unverblümt: „Die Schwachstelle erlaubt es jedem authentifizierten Nutzer, eine Remotecodeausführung (RCE) auf dem Server zu erreichen, indem er einen Pull-Request mit einem bösartigen Branch-Namen erstellt, der den --exec-Flag in

git rebase

Eine vorhersehbare Krise: Das Muster der Untätigkeit des Maintainers

Für jene, die das Gogs-Projekt verfolgen, ist dieser kritische, ungepatchte Zero-Day keine Überraschung. Er ist das jüngste und schwerwiegendste Beispiel eines mehrjährigen Musters, bei dem Sicherheitsmeldungen vom Hauptentwickler, der in der Praxis der einzige ist, mit Schweigen quittiert werden. Mehrere unabhängige Forschungsteams haben diese Chronik der Vernachlässigung detailliert dokumentiert:

• Juli 2024 (SonarSource): Forscher veröffentlichten vier ungepatchte Schwachstellen in Gogs, darunter mehrere Argument-Injection-Fehler und eine Lücke zum Löschen interner Dateien, alle mit kritischen CVSS-Werten von 9.9. Sie meldeten diese dem Maintainer, doch nach einer anfänglichen Annahme brach die Kommunikation ab, und Patches blieben aus .
• November 2024 (Unabhängiger Forscher): Eine separate, ungepatchte RCE-Lücke via Symlink-Traversal (CVE-2024-44625) wurde gemeldet und vollständig ignoriert, ganz ähnlich der Erfahrung von SonarSource .
• Dezember 2025 (Wiz Research): Ein Zero-Day-Path-Traversal-Fehler (CVE-2025-8110) wurde entdeckt, während er aktiv im Internet ausgenutzt wurde. Er kompromittierte über 700 öffentlich zugängliche Server und führte zu einer dringenden Warnung der US-Cybersicherheitsbehörde CISA, die ihn in ihren Katalog bekannter ausgenutzter Schwachstellen aufnahm .
• Mai 2026 (NVD/SentinelOne): Eine neue Command-Injection-Lücke (CVE-2026-26194) wurde für einen Fehler in der Release-Löschfunktion von Gogs reserviert, was die Liste der Git-Options-Injection-Probleme im Code weiter verlängert .

Diese Vorgeschichte hat die jüngste Enthüllung von Rapid7 zu mehr als einer reinen Sicherheitswarnung gemacht. Wie ein Branchenmedium es formulierte, ist die Situation „eine Erinnerung an die Grenzen von Open-Source-Projekten“, wenn sie von einem einzigen, nicht reagierenden Maintainer abhängen . Ohne eine effektive Governance durch viele Beteiligte kann sich ein weit verbreitetes Stück kritischer Infrastruktur in ein Dauerrisiko verwandeln.

So schützen Sie Ihren Gogs-Server jetzt

Da kein Software-Patch verfügbar ist, müssen Administratoren auf Konfigurationsänderungen und netzwerkbasierte Kontrollen setzen, um den Angriffsvektor zu neutralisieren. Die folgenden Schritte stoppen die unmittelbare Bedrohung und verkleinern die Angriffsfläche.

1. "Rebase before merging" sofort deaktivieren
Dies ist die effektivste Einzelmaßnahme. Die gesamte Angriffskette hängt von diesem speziellen Merge-Stil ab. Die Umstellung auf "Merge commit" oder "Squash" in den Repository- oder Instanz-Einstellungen eliminiert den verwundbaren Codepfad vollständig .

2. Netzzugriff beschränken
Der Angriff erfordert authentifizierten HTTP-Zugriff, um einen Pull-Request zu erstellen. Sollte Ihr Gogs-Server nicht öffentlich sein müssen, verlagern Sie ihn hinter ein VPN oder eine Firewall, die nur vertrauenswürdigen internen Nutzern Zugriff gestattet. Dies entzieht die Plattform den massenhaften Internet-Scans und Gelegenheitsangreifern.

3. Benutzerregistrierung und -rechte verschärfen
Da jeder authentifizierte Nutzer diese Lücke ausnutzen kann, ist die Minimierung der Anzahl an Konten eine zentrale Verteidigungsmaßnahme. Deaktivieren Sie die Selbstregistrierung und genehmigen Sie neue Nutzer manuell. Überprüfen Sie umgehend Ihre Benutzerliste und deaktivieren Sie veraltete oder unbekannte Konten .

4. Pull-Requests auf Anomalien überwachen
Implementieren Sie eine offensive Überwachung von Pull-Request-Branch-Namen, die verdächtige Zeichen wie doppelte Bindestriche (--), Semikolons, Backticks oder eindeutige Shell-Befehlswörter wie exec, curl oder wget enthalten. Ein ungewöhnlicher Branch-Name ist ein starkes Indiz für einen aktiven Exploit-Versuch .

5. Planen Sie Ihren langfristigen Ausstieg aus Gogs
Angesichts des dokumentierten Musters ungepatchter kritischer Schwachstellen ist das fortgesetzte Vertrauen auf Gogs ein strategisches Risiko. Die praktikabelste Alternative ist Gitea, ein gemeinschaftlich getriebener Fork von Gogs mit einem robusten Team aus mehreren Maintainern und einem reaktionsschnellen Sicherheitsprozess. Für Teams, die sich speziell wegen seiner schlanken, selbst hostbaren Natur für Gogs entschieden haben, ist Gitea ein nahezu gleichwertiger Ersatz, der den Single-Maintainer-Flaschenhals beseitigt .

6. Bereiten Sie sich auf einen Patch vor (falls einer kommt)
Bleiben Sie über die Gogs-Sicherheitsseite und die GitHub-Releases auf dem Laufenden. Sollte irgendwann ein Patch veröffentlicht werden, spielen Sie ihn unverzüglich ein. Planen Sie Ihre Sicherheitsstrategie jedoch unter der Annahme, dass sich dieses Muster wiederholen wird und eine zukünftige kritische Schwachstelle erneut monatelang ungepatcht bleiben wird.