كشفت شركة Rapid7 عن ثغرة أمنية حرجة في منصة Gogs مفتوحة المصدر والمستخدمة لاستضافة خدمات Git ذاتياً. الثغرة، التي لم تحصل بعد على معرف CVE رسمي، تحمل درجة خطورة 9.4 وفق مقياس CVSS، وتسمح لأي مستخدم مصادق بتنفيذ أوامر عشوائية على الخادم.
يتم الاستغلال عبر إنشاء طلب دمج (Pull Request) يحتوي على اسم فرع خبيث يقوم بحقن خيار –exec في عملية git rebase أثناء تفعيل خيار “إعادة الدمج قبل الدمج” (Rebase before merging). هذا الخيار يسمح بتنفيذ أوامر شل بعد كل عملية إعادة تطبيق للالتزامات (commits)، ما يفتح الباب أمام تنفيذ تعليمات ضارة مباشرة على الخادم.
سهولة التنفيذ دون صلاحيات إدارية
أوضح الباحث الأمني Jonah Burgess أن الاستغلال لا يتطلب صلاحيات إدارية أو تفاعل من مستخدمين آخرين. يكفي أن يقوم المهاجم بإنشاء حساب جديد على أي نسخة من Gogs بالإعدادات الافتراضية، ثم إنشاء مستودع جديد وتفعيل خيار الدمج عبر إعادة الدمج. من هناك يمكن تشغيل سلسلة الاستغلال كاملة بشكل مستقل.
في السيناريوهات التي تكون فيها عملية إنشاء المستودعات مقيدة، يمكن للمهاجم استغلال الثغرة إذا كان لديه صلاحيات كتابة على أي مستودع مفعّل فيه خيار إعادة الدمج.
تداعيات أمنية واسعة
تشير Rapid7 إلى أن الاستغلال الناجح يمنح المهاجم القدرة على اختراق الخادم بالكامل، الوصول إلى جميع المستودعات، استخراج بيانات الاعتماد، التحرك نحو أنظمة أخرى على الشبكة، والتلاعب بالشيفرات المستضافة.
كما أن الثغرة قد تؤدي إلى اختراق متعدد المستأجرين (Cross-Tenant Breach)، حيث يمكن للمهاجم قراءة مستودعات خاصة لمستخدمين آخرين على نفس الخادم المشترك.
الثغرة تؤثر على جميع المنصات المدعومة، بما في ذلك Windows وLinux وmacOS، مع وجود ما لا يقل عن 1,141 نسخة من Gogs مكشوفة على الإنترنت، بينما يُرجح أن العدد الحقيقي أكبر بسبب النشر داخل الشبكات الداخلية أو عبر VPN.
غياب التحديث وتوصيات عاجلة
حتى لحظة كتابة التقرير، لم يصدر مطوّرو Gogs أي تحديث لمعالجة الثغرة رغم الإبلاغ عنها في 17 مارس 2026. وفي ظل غياب التصحيح، أوصت Rapid7 بعدة إجراءات وقائية:
- تعطيل تسجيل المستخدمين عبر ضبط خيار DISABLE_REGISTRATION = true في ملف app.ini.
- تقييد إنشاء المستودعات عبر ضبط MAX_CREATION_LIMIT = 0.
- مراجعة إعدادات إعادة الدمج والتأكد من تعطيلها عند عدم الحاجة.
كما أصدرت Rapid7 وحدة Metasploit تستغل الثغرة بشكل كامل على أنظمة Linux وWindows، وتتيح تنفيذ الهجوم إما عبر مستودع مؤقت يُنشأ ويُحذف لاحقاً، أو عبر مستودع قائم يملك المهاجم صلاحيات الكتابة والدمج فيه.
