ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

В Gogs, популярном самохостинговом Git-сервисе с открытым исходным кодом, обнаружена критическая уязвимость, позволяющая авторизованному пользователю при определенных условиях выполнить произвольный код.

По данным Rapid7, эта уязвимость получила оценку 9,4 по шкале CVSS. У нее нет идентификатора CVE.

«Уязвимость позволяет любому авторизованному пользователю выполнить удаленное выполнение кода (RCE) на сервере путем создания запроса на слияние (pull request) со зловредным именем ветки, которое вставляет флаг --exec в команду git rebase во время операции слияния «Rebase before merging», — сказал исследователь в области безопасности Джона Берджесс.

Rebasing — это действие Git, которое используется для взятия последовательности коммитов из одной ветки функций и их воспроизведения поверх другой базовой ветки с целью создания линейной истории проекта. Хотя «git rebase» решает ту же проблему, что и «git merge» — т. е. интегрирует изменения из одной ветки в другую — первое переписывает историю проекта, создавая новые коммиты для каждого коммита в исходной ветке.

Действие «git rebase» также принимает в качестве аргумента команду оболочки через флаг --exec, которая выполняется после воспроизведения каждого коммита. Примечательным аспектом уязвимости является то, что она не требует прав администратора или взаимодействия с другими пользователями. Чтобы осуществить атаку, все, что нужно сделать неавторизованному злоумышленнику, — это создать учетную запись и репозиторий на любом экземпляре с настройками по умолчанию.

«Любой зарегистрированный пользователь, создавший репозиторий, автоматически становится его владельцем», — сказал Берджесс. «После этого для включения слияния с помощью rebase достаточно одного переключателя в настройках, и вся цепочка эксплойтов может быть запущена без взаимодействия с каким-либо другим пользователем».

В альтернативном сценарии пользователь с правами на запись в репозитории, где ребазирование уже включено, может напрямую использовать эту уязвимость для выполнения кода. На экземплярах Gogs, где создание репозиториев ограничено, злоумышленнику необходимо иметь права на запись в любой репозитории, в котором включено слияние с ребазированием.

На момент написания статьи уязвимость остается незакрытой, несмотря на то, что о ней было сообщено разработчику 17 марта 2026 года. Успешная эксплуатация этой уязвимости может предоставить злоумышленнику возможность взломать сервер, получить доступ ко всем репозиториям на инстансе, выгрузить учетные данные, перейти на другие системы, доступные по сети, и подделать код любого размещенного репозитория.