Une faille de sécurité de type zero-day, encore non corrigée, dans le service Git auto-hébergé Gogs permet aux attaquants d’exécuter du code à distance sur les instances exposées sur Internet.
Gogs est écrit en Go et constitue une alternative à GitHub Enterprise ou GitLab. Il est souvent installé sur des serveurs accessibles en ligne pour faciliter la collaboration.
Cette vulnérabilité critique, qui repose sur une injection d’arguments, n’a pas encore reçu un identifiant CVE. Elle touche les dernières versions de Gogs, notamment la 0.14.2 et la 0.15.0+dev. Un attaquant doit être authentifié pour l’exploiter, mais il ne nécessite pas de privilèges administrateur.
Le chercheur en sécurité Jonah Burges de Rapid7, qui a découvert cette faille, précise que les serveurs Gogs avec une configuration standard sont tous vulnérables, même si l’exploitation requiert des droits utilisateur basiques.
Burges a averti que « Gogs est configuré par défaut avec l’inscription publique activée et aucune limite pour la création de dépôts. Un attaquant non authentifié peut donc créer un compte et un dépôt sur toute instance qui utilise les paramètres d’origine. »
Il ajoute : « Tout utilisateur inscrit qui crée un dépôt devient automatiquement son propriétaire. Il peut ensuite activer la fusion par rebase via un simple paramètre. La chaîne d’exploitation complète fonctionne alors sans nécessiter l’intervention d’un autre utilisateur. »
Une exploitation réussie permet à l’attaquant d’exécuter du code arbitraire à distance, avec les droits du processus serveur Gogs. Cela se fait via des demandes de fusion (pull requests) qui utilisent un nom de branche malveillante. Ce nom injecte l’argument « –exe »c dans la commande git rebase lors de l’opération de fusion « Rebase before merging ».
Cette faille peut être utilisée pour prendre le contrôle du serveur. L’attaquant peut lire tous les dépôts de l’instance, même ceux privés des autres utilisateurs. Il peut extraire des données sensibles comme les hachages de mots de passe, les jetons API, les clés SSH ou les secrets 2FA. Il peut ensuite pivoter vers d’autres systèmes accessibles sur le réseau et modifier le code de tout dépôt hébergé.
Burges indique que cette vulnérabilité ressemble à d’autres failles d’injection d’arguments déjà corrigées par Gogs, comme CVE-2024-39933 ou CVE-2025-8110. Cependant, elle concerne un chemin de code différent, la fonction Merge(), qui n’a jamais été patchée.
Le chercheur a signalé cette faille aux mainteneurs de Gogs le 17 mars. Ils ont reçu le rapport le 28 mars mais n’ont pas encore fourni un correctif ni répondu aux demandes de suivi.
L’organisation de surveillance Shadowserver identifie plus de 2400 serveurs Gogs exposés en ligne. La majorité se trouve en Asie (1894) et en Europe (319). L’outil de recherche Shodan détecte environ 1000 adresses IP avec une signature Gogs.
Au début du mois de décembre, l’équipe sécurité de Gogs a corrigé une autre vulnérabilité de type RCE, CVE-2025-8110. Elle avait été exploitée en zero-day pour compromettre plusieurs centaines de serveurs.
Les chercheurs de Wiz, qui avaient rapporté cette faille, avaient alors déclaré : « Beaucoup de ces instances sont configurées avec ‘Open Registration’ activé par défaut, ce qui crée une surface d’attaque très large. »
Wiz Research a trouvé CVE-2025-8110 en juillet lors de l’investigation d’un serveur Gogs compromis et accessible sur Internet. Ils ont informé les mainteneurs de Gogs le 17 juillet. La réponse est arrivée trois mois plus tard, le 30 octobre. Les correctifs ont été publiés début janvier.
Le 12 janvier, l’agence américaine CISA a confirmé le rapport de Wiz et indiqué que CVE-2025-8110 était exploité activement. Elle a ajouté cette faille à son catalogue des vulnérabilités exploitées dans la nature. L’agence a ordonné aux agences du Federal Civilian Executive Branch de sécuriser leurs serveurs avant le 2 février.
La CISA avait alors averti : « Ce type de vulnérabilité est un vecteur d’attaque fréquent pour les cyberacteurs malveillants et présente des risques importants pour l’administration fédérale. »