Kritische Sicherheitslücke in Gogs
- Sicherheitshinweis
Die CSBW warnt vor einer kritischen Schwachstelle im Git-Server Gogs. Ein Patch exisitiert bislang nicht. Die IT-Sicherheitsfirma Rapid7 stellt Mitigationsmaßnahmen und Kompromittierungsindikatoren (Indicator of Compromise: IoC) zur Verfügung.
© Rafael Henrique - stock.adobe.com
Kein Update und keine CVE-Kennung vorhanden
Rapid7 veröffentlichte am 28. Mai 2026 einen Sicherheitsbericht zu einer kritischen Sicherheitslücke in Gogs. Die Schwachstelle ohne CVE-Kennung hat einen CVSS-Score von 9.4/10 und ermöglicht authentifizierten Angreifenden, Code auf infiltrierten Systeme auszuführen und diese Systeme vollständig zu kompromittieren.
Betroffen sind alle Gogs-Versionen. Ein Patch existiert bisher nicht. Rapid7 stellt in seinem unten verlinkten Bericht Mitigationsmaßnahmen und IoCs bereit, die Nutzende bis zur Veröffentlichung eines Patches beachten sollten.
Empfehlungen
- Prüfen Sie Ihre Systeme mithilfe der IoCs aus dem Sicherheitsbericht von Rapid7.
- Beachten Sie die Mitigationsmaßnahmen im Bericht von Rapid7.
- Prüfen Sie in kurzen Zeitabständen, ob das Entwickler-Team von Gogs ein abgesichertes Update veröffentlicht hat, und installieren Sie diesen Patch umgehend.