Lỗ hổng RCE nghiêm trọng trong Gogs cho phép người dùng chiếm quyền điều khiển server

Một lỗ hổng bảo mật nghiêm trọng đã được công bố trên Gogs, nền tảng dịch vụ Git mã nguồn mở phổ biến. Lỗ hổng này cho phép bất kỳ người dùng nào đã xác thực có thể thực thi mã tùy ý (RCE) trên server trong một số điều kiện nhất định.

Theo báo cáo từ Rapid7, lỗ hổng này đạt điểm 9.4 trên thang đo CVSS và hiện chưa có định danh CVE cụ thể. Nhà nghiên cứu bảo mật Jonah Burgess cho biết, kẻ tấn công có thể khai thác bằng cách tạo một pull request với tên nhánh (branch name) chứa mã độc, từ đó tiêm flag --exec vào lệnh git rebase trong quá trình hợp nhất (merge).

Điểm đáng chú ý của lỗ hổng này là nó không yêu cầu quyền quản trị hay sự tương tác từ người dùng khác. Trên các instance Gogs được cấu hình mặc định, bất kỳ ai cũng có thể đăng ký tài khoản, tạo repository và kích hoạt tính năng rebase merge để thực thi mã độc. Trong trường hợp tính năng tạo repository bị hạn chế, kẻ tấn công chỉ cần có quyền ghi (write access) vào bất kỳ repository nào đã bật tính năng rebase.

Tại thời điểm công bố, lỗ hổng này vẫn chưa có bản vá dù đã được báo cáo cho nhà phát triển từ ngày 17/03/2026. Việc khai thác thành công có thể dẫn đến hậu quả nghiêm trọng như chiếm quyền điều khiển server, truy cập vào toàn bộ repository, đánh cắp thông tin xác thực, di chuyển ngang trong mạng nội bộ và can thiệp vào mã nguồn của các dự án khác trên cùng một server.

Rapid7 cũng đã phát triển một module Metasploit để tự động hóa quy trình khai thác này trên cả Windows và Linux. Để giảm thiểu rủi ro trong khi chờ bản vá, quản trị viên được khuyến nghị thực hiện các biện pháp sau:

• Vô hiệu hóa đăng ký người dùng mới bằng cách thiết lập DISABLE_REGISTRATION = true trong file app.ini.
• Hạn chế khả năng tạo repository bằng cách thiết lập MAX_CREATION_LIMIT = 0 trong file app.ini.
• Kiểm tra và rà soát lại các thiết lập liên quan đến rebase merge trên hệ thống.

Nguồn tham khảo: The Hacker News