Vulnerabilidad crítica en Gogs permite ejecución remota de código por cualquier usuario autenticado

Se ha descubierto una grave vulnerabilidad de seguridad en Gogs, un popular servicio de Git de código abierto que se aloja en servidores propios. Esta falla permite que cualquier usuario autenticado ejecute código arbitrario en el servidor, lo que podría tener graves consecuencias para la seguridad. El investigador de seguridad Jonah Burgess destacó que la brecha tiene una puntuación de 9.4 en la escala CVSS, que mide la gravedad de las vulnerabilidades. Es importante mencionar que este fallo aún no tiene un identificador CVE (Common Vulnerabilities and Exposures), que es una referencia estándar para vulnerabilidades conocidas.

Cómo funciona el ataque

La vulnerabilidad permite a un usuario autenticado ejecutar código de forma remota (RCE) al crear una solicitud de extracción (pull request) con un nombre de rama malicioso. Este nombre inyecta la opción --exec en el comando git rebase durante la operación de 'Rebase before merging' (rebase antes de fusionar). El rebase en Git es una acción que permite tomar una serie de cambios de una rama y aplicarlos a otra, reescribiendo la historia del proyecto.

• El ataque no requiere privilegios de administrador ni interacción con otros usuarios.
• Un atacante solo necesita crear una cuenta y un repositorio en una instancia de Gogs con configuración predeterminada.
• Si el rebase está habilitado, el atacante puede ejecutar el código sin que otros usuarios tengan que participar.

A quién afecta

Esta vulnerabilidad afecta a todas las plataformas compatibles con Gogs, como Windows, Linux y macOS. Actualmente, se estima que hay 1,141 instancias de Gogs accesibles desde Internet, aunque el número real podría ser mayor, ya que muchas se encuentran detrás de redes privadas o VPN. La falta de un parche desde que se reportó la vulnerabilidad el 17 de marzo de 2026 sigue siendo una preocupación para los administradores de sistemas que utilizan esta herramienta.

Qué significa esto para ti

Para los usuarios y empresas que utilizan Gogs, esto implica un riesgo significativo de seguridad. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante acceder a todos los repositorios en la instancia, robar credenciales y modificar cualquier código alojado. Se recomienda restringir el registro de usuarios y la creación de repositorios, así como auditar las configuraciones de fusión de rebase para mitigar el riesgo hasta que se emita un parche. Mantenerse informado sobre estas amenazas es esencial para proteger la integridad de los datos y la seguridad de la información.