Vulnerabilidade crítica no Gogs permite execução remota

Vulnerabilidade crítica no Gogs

Uma vulnerabilidade de execução remota de código (RCE) avaliada com CVSS 9.4 foi identificada no Gogs, plataforma open-source de hospedagem Git self-hosted muito usada por equipes de desenvolvimento. A falha, descoberta por pesquisadores da Rapid7, permite que qualquer usuário autenticado execute código arbitrário no servidor onde o Gogs está rodando — sem necessidade de privilégios administrativos em determinadas configurações.

O problema afeta todas as versões do Gogs até a 0.13.3. A exploração ocorre por meio da funcionalidade de git hooks: o atacante cria um repositório temporário, configura um hook post-receive com o payload malicioso e executa um commit para disparar o código. Tudo pela interface web, sem acesso direto ao sistema de arquivos.

Zero-day ativamente explorado

Essa falha está relacionada à CVE-2025-8110, um zero-day descoberto pela equipe da Wiz Research em julho de 2025. A CVE-2025-8110 é um bypass via symlink de uma correção anterior (CVE-2024-55947). Pesquisadores da Wiz identificaram mais de 700 instâncias comprometidas expostas na internet. O patch definitivo foi lançado apenas em janeiro de 2026, na versão v0.13.4.

A demora na correção é um problema estrutural do Gogs: o projeto é mantido por uma comunidade pequena e não possui o mesmo ritmo de atualizações de alternativas como Gitea ou Forgejo.

Risco para empresas brasileiras

No Brasil, o Gogs é usado por startups e equipes de TI que preferem soluções self-hosted para manter código-fonte dentro de sua infraestrutura. Um servidor Gogs comprometido significa acesso total ao código-fonte, possibilidade de injeção de backdoors nos repositórios e movimentação lateral na rede corporativa.

Sob a ótica da LGPD, um ataque que expõe código contendo dados pessoais (como credenciais hardcoded, chaves de API ou lógica de processamento de dados) pode configurar incidente de segurança notificável à ANPD.

Como se proteger

• Atualize o Gogs para a versão 0.13.4 ou superior imediatamente — essa é a única versão com o patch definitivo
• Se não for possível atualizar, desabilite a criação de git hooks para usuários não-administradores nas configurações do Gogs
• Revise os git hooks existentes em todos os repositórios buscando comandos suspeitos ou desconhecidos
• Considere migrar para Gitea ou Forgejo, forks do Gogs com manutenção mais ativa e respostas mais rápidas a vulnerabilidades
• Monitore logs do servidor Gogs em busca de criação de repositórios seguida de execuções de hooks em horários incomuns

Fontes

• The Hacker News – Critical Gogs RCE Vulnerability
• Wiz Research – Gogs Zero-Day RCE (CVE-2025-8110)
• Rapid7 – Gogs Git Hooks RCE Exploit Module
• Hive Pro – The Gogs Blind Spot