Критическая уязвимость Gogs осталась без исправления: как защитить серверы от взлома

Детали атаки в одном абзаце:

• Необходимый доступ: любая стандартная учетная запись. Права администратора не требуются ;
• Вектор: специально созданный pull request с вредоносным названием ветки ;
• Полезная нагрузка: внедрение флага --exec с желаемой shell-командой ;
• Уязвимые версии: актуальные — Gogs 0.14.2 и 0.15.0+dev ;
• Статус: патча нет. Об ошибке публично сообщили 27 мая 2026 г., идентификатор CVE пока не присвоен .

Исследователь безопасности Джона Бёрджесс (Jonah Burgess) из Rapid7 Labs, обнаруживший проблему, пояснил механику прямо: «Уязвимость позволяет любому аутентифицированному пользователю добиться удаленного выполнения кода (RCE) на сервере при создании pull request. Вредоносное название ветки внедряет флаг --exec в

git rebase

Не сбой, а закономерность: хроника молчания единственного мейнтейнера

Для тех, кто следит за проектом Gogs, появление еще одной критической незакрытой уязвимости не стало сюрпризом. Это последний и самый серьезный эпизод многолетней истории, в которой сообщения об ошибках безопасности натыкаются на молчание основного — и фактически единственного — разработчика.

Хронология бездействия хорошо задокументирована разными исследовательскими группами:

• Июль 2024 г. (SonarSource). Публично раскрыты четыре неустраненные уязвимости, в том числе несколько инъекций аргументов и удаление внутренних файлов — все с оценкой CVSS 9.9. После первичного принятия отчета коммуникация прекратилась, исправлений не появилось .
• Ноябрь 2024 г. (независимый исследователь). Обнаружен еще один незакрытый RCE через обход символьных ссылок (CVE-2024-44625). Обращение было полностью проигнорировано — картина, идентичная опыту SonarSource .
• Декабрь 2025 г. (Wiz Research). Уязвимость нулевого дня path traversal (CVE-2025-8110) обнаружена в момент активной эксплуатации. Скомпрометировано более 700 интернет-серверов. Агентство CISA (Агентство по кибербезопасности и защите инфраструктуры США) включило проблему в каталог известных эксплуатируемых уязвимостей (KEV) .
• Май 2026 г. (NVD / SentinelOne). Зарезервирован новый CVE (CVE-2026-26194) для внедрения команд в функции удаления релизов Gogs — очередное звено в списке проблем с Git-инъекциями .

Эта история превратила последнее предупреждение Rapid7 в нечто большее, чем просто техническое уведомление. Как сформулировало одно из отраслевых изданий, ситуация — «напоминание об ограничениях опенсорсных проектов», зависящих от одного мейнтейнера, который не реагирует на угрозы . Без эффективного многостороннего управления широко используемый компонент критической инфраструктуры становится перманентным источником риска.

Что нужно сделать прямо сейчас: план защиты без патча

Официального исправления нет, поэтому администраторам придется использовать сочетание конфигурационных и сетевых мер нейтрализации вектора атаки.

1. Отключить «Rebase before merging» немедленно

Это самая эффективная мера. Вся цепочка атаки завязана на конкретный стиль слияния. Переключение репозиториев или всего экземпляра на «Merge commit» или «Squash» полностью исключает уязвимый код .

2. Ограничить сетевой доступ

Для эксплуатации злоумышленнику нужен авторизованный HTTP-доступ для создания pull request. Если Gogs-сервер не обязан быть публичным, переместите его за VPN или файрвол, разрешающий подключения только доверенным внутренним пользователям. Это убирает платформу из поля зрения массовых сканеров и случайных атакующих.

3. Ужесточить регистрацию и права пользователей

Раз любой аутентифицированный пользователь может эксплуатировать баг, минимизация числа учетных записей — ключевая защита. Отключите самостоятельную регистрацию и перейдите на ручное одобрение новых пользователей. Проведите аудит текущего списка и деактивируйте устаревшие или неизвестные аккаунты .

4. Мониторить аномалии pull request

Внедрите агрессивный мониторинг названий веток на наличие подозрительных символов: двойных дефисов (--), точек с запятой, обратных кавычек и явных токенов shell-команд вроде exec, curl или wget. Нестандартное название ветки — верный признак попытки эксплуатации .

5. Планировать долгосрочный уход с Gogs

Учитывая задокументированную картину неисправляемых критических уязвимостей, дальнейшая опора на Gogs — стратегический риск. Наиболее реалистичная альтернатива — Gitea, community-форк Gogs с развитой командой разработчиков и отзывчивым процессом обработки уязвимостей. Для команд, выбравших Gogs именно за легкость self-hosted решения, Gitea выступает почти бесшовной заменой, устраняющей узкое место единственного мейнтейнера .

6. Быть готовым к патчу (если он появится)

Подпишитесь на страницу безопасности Gogs и релизы на GitHub. Если исправление все же опубликуют — обновляйтесь мгновенно. Но выстраивайте стратегию защиты из расчета, что модель поведения не изменится, и будущая критическая уязвимость снова останется без патча на месяцы.