Varnostni raziskovalci so odkrili kritično ranljivost zero-day v Gogs, priljubljeni samogostovani Git platformi, ki je napisana v jeziku Go. Varnostna pomanjkljivost omogoča napadalcem izvajanje poljubne kode na oddaljenih strežnikih (RCE – Remote Code Execution), kar predstavlja resno nevarnost za vse organizacije, ki uporabljajo javno dostopne instance tega sistema.
Gogs je lahka alternativa platformam kot sta GitLab in GitHub, namenjena samogostovanju Git repozitorijev. Zaradi svoje enostavnosti in minimalnih sistemskih zahtev jo uporablja več tisoč organizacij in razvijalcev po vsem svetu za upravljanje izvorne kode in sodelovanje pri projektih.
Ranljivost izhaja iz nepravilne validacije uporabniških vhodov pri določenih funkcijah platforme. Napadalec lahko z ustrezno pripravljeno zahtevo izkoristi to pomanjkljivost in izvede poljubno kodo na strežniku z enakimi pravicami, kot jih ima aplikacija Gogs. To napadalcem omogoča namestitev zlonamerne programske opreme, krajo občutljivih podatkov iz repozitorijev ali kompromitiranje celotne infrastrukture.
Še posebej zaskrbljujoče je dejstvo, da za izkoriščanje ranljivosti ni potrebna predhodna avtentikacija v nekaterih konfiguracijah, kar pomeni, da lahko tudi povsem nepooblaščeni uporabniki napadejo ranljive sisteme. Varnostni strokovnjaki so že opazili poskuse skeniranja interneta za iskanje ranljivih Gogs instanc.
Razvijalci Gogs do objave te novice še niso izdali uradno popravka, zato je ranljivost trenutno klasificirana kot zero-day. Administratorjem priporočajo, da takoj omejijo dostop do Gogs instanc samo na zaupanja vredne IP naslove, implementirajo dodatne varnostne plasti kot je WAF (Web Application Firewall) in spremljajo dnevniške zapise za sumljive aktivnosti.
Organizacijam svetujejo, da čim prej posodobijo Gogs na najnovejšo različico, takoj ko bo popravek na voljo. Do takrat je najboljša zaščita odstranitev javnega dostopa do platforme in uporaba VPN povezav za dostop do Git repozitorijev.
Vir: https://www.bleepingcomputer.com/news/security/new-gogs-zero-day-flaw-lets-hackers-get-remote-code-execution/
Originalna objava: 2026-05-28
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.