Експерти з безпеки оприлюднили деталі критичної вразливості нульового дня у популярному безкоштовному сервісі Gogs. Ця платформа широко використовується програмістами як власне сховище для спільного керування кодом. Спеціалісти аналітичної компанії Rapid7 оцінили небезпеку цієї діри у 9.4 бала з 10 можливих за міжнародною шкалою CVSS, хоча окремого коду CVE їй ще не надали. Суть проблеми полягає в тому, що будь-який користувач, який пройшов звичайну реєстрацію на сервері, може отримати повний контроль над операційною системою за допомогою функції “git rebase”. Під час створення запиту на злиття змін хакер може використати спеціально сформоване ім’я гілки коду, яке містить системний прапорець, що змушує сервер автоматично виконати закладену зловмисником команду.

Головна небезпека полягає в повній автономності атаки, яка не потребує прав адміністратора чи дій з боку інших користувачів системи. За стандартних налаштувань Gogs будь-який новий користувач може створити свій репозиторій, автоматично стати його власником, увімкнути функцію об’єднання через rebase в налаштуваннях та запустити експлуатацію вразливості самостійно. Якщо створення нових проєктів обмежене, зловмиснику достатньо мати звичайні права на запис до будь-якого наявного репозиторію. Дефект залишається повністю невиправленим, попри те, що розробникам Gogs про нього повідомили ще 17 березня 2026 року, а компанія Rapid7 вже створила та опублікувала готовий модуль для тестового зламу систем на базі Windows та Linux. Успішна атака дозволяє хакерам зламати сервер, отримати доступ до закритих комерційних розробок інших компаній на цьому ж сервері, викрасти паролі та парольні ключі, а також непомітно впровадити шкідливий код у чужі програми. Наразі у відкритому інтернеті виявлено щонайменше 1141 вразливий сервер Gogs.