Oliver Peters / 123rf.com
Gogs ist eine leichtgewichtige, selbst gehostete Git-Plattform zur Verwaltung von Softwareprojekten und Quellcode-Repositories. Die Anwendung richtet sich vor allem an Unternehmen und Entwickler, die eine Alternative zu cloudbasierten Diensten wie GitHub oder GitLab auf eigener Infrastruktur betreiben möchten.
Eine kritische Sicherheitslücke gefährdet derzeit Gogs-Installationen in der Standardkonfiguration. Angreifer können die Schwachstelle ausnutzen, um Schadcode auf betroffenen Servern auszuführen und die Systeme vollständig zu kompromittieren. Die Schwachstelle ermöglicht es authentifizierten Nutzern, den Prozess “Rebase before merge” zu manipulieren. Auf diesem Weg kann beliebiger Code auf dem Server eingeschleust und ausgeführt werden. Nach einer erfolgreichen Attacke ist davon auszugehen, dass das betroffene System vollständig unter der Kontrolle des Angreifers steht. Besonders kritisch ist die Standardeinstellung von Gogs, die die Registrierung neuer Benutzer erlaubt (DISABLE_REGISTRATION = false). Dadurch können sich potenzielle Angreifer selbstständig einen Account anlegen und die Schwachstelle ohne weitere Voraussetzungen ausnutzen.
