В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая популярную платформу для создания самоуправляемых Git-репозиториев Gogs. Речь идёт о проблеме, связанной с ошибкой в механизме обработки относительного пути к каталогу. Эта уязвимость, получившая идентификаторы BDU:2026-08780 и CVE-2026-52813, позволяет злоумышленнику, действующему удалённо, выполнить произвольный код на сервере.
Детали уязвимости
Опасность ситуации усугубляется тем, что для данной уязвимости уже существует публичный эксплойт. Иными словами, любой заинтересованный нарушитель может воспользоваться готовым инструментом для атаки, не обладая глубокими техническими знаниями. Уровень опасности по шкале CVSS составляет максимальные десять баллов как во второй, так и в третьей версии. Это означает, что уязвимость критическая, и её эксплуатация не требует аутентификации или особых привилегий. Более того, она влияет на конфиденциальность, целостность и доступность информации с высшей степенью тяжести.
Давайте разберёмся в сути проблемы. Ошибка классифицируется как CWE-23, то есть обход ограничений, связанных с относительным путём. В программном коде, а именно в файле internal/database/org.go, допущена неточность при обработке путей к директориям. Если упростить, то сервер неправильно проверяет, куда именно пользователь пытается обратиться через относительный путь. Злоумышленник может сформировать специальный запрос, который заставит сервер выйти за пределы разрешённой папки и обратиться к системным файлам или выполнить произвольные команды операционной системы. Это классическая техника атаки, известная как "path traversal". В данном случае она приводит к удалённому выполнению кода.
Уязвимость затрагивает все версии Gogs до версии 0.14.3 включительно. Разработчики уже выпустили обновление, которое устраняет проблему. В официальном репозитории на GitHub сообщается, что патч внедрён в релиз версии 0.14.3. Администраторам настоятельно рекомендуется как можно скорее обновить свои установки.
Чем это грозит на практике? Если злоумышленник успешно воспользуется уязвимостью, он сможет полностью скомпрометировать сервер Gogs. А это не просто хранилище кода, а часто сердце инфраструктуры разработки. Компрометация такого сервера может привести к краже исходных кодов, включая проприетарные разработки, коммерческие секреты или даже пароли и ключи доступа, которые разработчики могли случайно оставить в репозиториях. Кроме того, нарушитель может нарушить работу конвейера развёртывания, внедрить вредоносный код в продукт на этапе сборки или просто вывести систему из строя.
Специалистам по безопасности стоит обратить внимание на то, что способ эксплуатации описывается как манипулирование ресурсами. Это значит, что атака не требует сложных предварительных условий. Вектор атаки сетевой, а сложность низкая. Поэтому уязвимость представляет реальную угрозу для любых организаций, использующих Gogs, будь то небольшие стартапы или крупные компании, предпочитающие самостоятельно управлять Git-инфраструктурой.
Какие меры можно предпринять? Прежде всего, обновить Gogs до версии 0.14.3 или выше. Если по каким-то причинам обновление невозможно, стоит временно ограничить доступ к интерфейсу управления Gogs из внешних сетей, настроив правила межсетевого экрана. Также полезно проверить системные журналы на предмет подозрительных запросов, содержащих обход каталогов. Однако самый надёжный способ - это полное обновление.
Стоит отметить, что уязвимость подтверждена производителем, а значит, её существование не вызывает сомнений. Открытый эксплойт дополнительно повышает вероятность массовых атак. В таких случаях задержка с обновлением может обернуться серьёзными последствиями. Поэтому каждому администратору Gogs стоит действовать незамедлительно.
Выявленная проблема - не просто очередная запись в каталоге уязвимостей. Это реально действующая брешь в популярном инструменте, которая позволяет злоумышленнику удалённо запускать код на сервере. Игнорировать её нельзя. Разработчики выпустили исправление, и теперь ответственность лежит на пользователях. В мире кибербезопасности такие моменты требуют быстрой реакции, ведь время - один из главных ресурсов в борьбе с угрозами.
Ссылки
- https://bdu.fstec.ru/vul/2026-08780
- https://www.cve.org/CVERecord?id=CVE-2026-52813
- https://github.com/gogs/gogs/releases/tag/v0.14.3
- https://github.com/gogs/gogs/security/advisories/GHSA-c39w-43gm-34h5
- https://github.com/gogs/gogs/commit/f6acd467305943aae8403cbac81f0118dd1235d7
- https://github.com/gogs/gogs/pull/8334
- https://dailycve.com/gogs-path-traversal-vulnerability-leading-to-remote-code-execution-cve-2026-52813-critical-dc-jun2026-581/
