Critical Gogs RCE Vulnerability Lets Any Authenticated User Execute Arbitrary Code

Vulnérabilité critique d’exécution de code à distance (RCE) dans Gogs

Une vulnérabilité critique (score CVSS de 9,4) affecte le service Git auto-hébergé Gogs, permettant à tout utilisateur authentifié d’exécuter du code arbitraire sur le serveur. Bien qu’aucun identifiant CVE ne lui ait été attribué, le défaut expose les instances à une compromission totale, incluant le vol de données inter-locataires et l’accès aux dépôts privés.

Points clés :

• Mécanisme d’attaque : La faille repose sur une injection d’argument via le nom d’une branche malveillante. Lors d’une opération de « rebase » (fusion), l’attaquant injecte l’option --exec de Git, forçant l’exécution de commandes shell sur le serveur.
• Accessibilité : Aucune interaction avec d’autres utilisateurs ni privilèges d’administrateur ne sont requis. Il suffit d’avoir un compte utilisateur sur l’instance et de disposer des droits d’écriture dans un dépôt où le « rebase » est activé.
• Impact : Compromission du serveur, accès aux identifiants, altération du code source et fuite de données entre différents utilisateurs (cross-tenant). La vulnérabilité touche toutes les plateformes (Windows, Linux, macOS).
• Statut : Aucun correctif n’est disponible à ce jour.

Vulnérabilités :

• Type : Injection d’arguments (RCE).
• CVE : Aucune assignée.

Recommandations :

• Désactiver l’enregistrement : Configurer DISABLE_REGISTRATION = true dans le fichier app.ini pour bloquer la création de nouveaux comptes par des tiers non autorisés.
• Restreindre la création de dépôts : Définir MAX_CREATION_LIMIT = 0 dans app.ini.
• Audit de configuration : Désactiver ou restreindre strictement l’option de fusion par « rebase » (rebase merge) dans les paramètres des dépôts.

Source