В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критические уязвимость в популярном программном обеспечении для создания самоуправляемых Git-репозиториев Gogs. Идентификатор уязвимости - BDU:2026-02143, ей также присвоен идентификатор CVE-2026-25242. Проблема затрагивает все версии Gogs до 0.14.0 и получила максимально возможные оценки по шкалам CVSS 2.0 (10.0) и CVSS 3.x (9.8), что указывает на исключительную серьезность угрозы.
Детали уязвимости
Уязвимость кроется в функциях "UploadIssueAttachment()" и "UploadReleaseAttachment()", отвечающих за загрузку вложений к задачам и релизам. Основная причина - отсутствие должной проверки авторизации пользователя. Следовательно, злоумышленник, действующий удаленно и не обладающий учетными данными (PR:N в CVSS 3.x), может напрямую обращаться к этим функциям. Эксплуатация уязвимости позволяет реализовать две основные атаки. Во-первых, это может привести к отказу в обслуживании, например, путем заполнения дискового пространства. Во-вторых, и это наиболее опасно, загрузка специально сформированного файла может привести к выполнению произвольного кода (RCE) на сервере.
Фактически, уязвимость предоставляет злоумышленнику возможность полного контроля над уязвимой системой. Он может получить несанкционированный доступ к конфиденциальным данным, в том числе к исходному коду проектов, установить вредоносное программное обеспечение или программу-шифровальщик (ransomware), а также использовать сервер в качестве плацдарма для атак на другие системы внутри сети организации. Наличие публичного эксплойта в открытом доступе значительно повышает актуальность угрозы, так как снижает порог входа для киберпреступников.
Производитель программного обеспечения, сообщество свободного программного обеспечения, уже подтвердило наличие проблемы и выпустило исправление. Уязвимость была устранена в коммите с хэшем "628216d5889fcb838c471f4754f09b935d9cd9f3" в репозитории GitHub. Основным и самым эффективным способом устранения уязвимости является немедленное обновление Gogs до версии 0.14.0 или более поздней. Однако в текущих геополитических условиях, как отмечено в карточке BDU, рекомендуется устанавливать обновления только из доверенных источников после тщательной оценки всех сопутствующих рисков.
Если немедленное обновление невозможно, специалисты по кибербезопасности рекомендуют срочно применить комплекс компенсирующих мер. Ключевой мерой является включение обязательной авторизации для просмотра репозиториев. Этого можно достичь, установив значение «true» для переменной конфигурации "REQUIRE_SIGNIN_VIEW". Кроме того, крайне важно ограничить доступ к интерфейсу Gogs из внешних сетей, используя схемы доступа по «белому списку» и межсетевые экраны.
Для защиты на уровне приложения стоит рассмотреть развертывание межсетевого экрана уровня веб-приложений (WAF). Он может помочь в фильтрации подозрительных запросов на загрузку файлов. Дополнительно, следует установить строгие ограничения на количество и максимальный размер загружаемых файлов. Для мониторинга и обнаружения инцидентов рекомендуется задействовать антивирусное ПО для регулярной проверки файловой системы, а также системы класса SIEM. SIEM-системы позволят централизованно отслеживать события, связанные с попытками загрузки файлов неавторизованными пользователями, что соответствует лучшим практикам фреймворка MITRE ATT&CK.
Обнаружение данной уязвимости подчеркивает постоянную важность своевременного обновления программного обеспечения, особенно в инфраструктурных инструментах для разработки. Системы управления исходным кодом, такие как Gogs, GitLab или GitHub Enterprise, являются критически важными активами, поскольку содержат интеллектуальную собственность компании. Их компрометация может привести к катастрофическим последствиям, включая утечку коммерческой тайны и остановку процессов разработки. Следовательно, командам DevOps и специалистам по информационной безопасности необходимо уделять пристальное внимание не только функциональности, но и безопасности всего стека используемых технологий.
Ссылки
- https://bdu.fstec.ru/vul/2026-02143
- https://www.cve.org/CVERecord?id=CVE-2026-25242
- https://github.com/gogs/gogs/security/advisories/GHSA-fc3h-92p8-h36f
- https://github.com/gogs/gogs/commit/628216d5889fcb838c471f4754f09b935d9cd9f3
- https://github.com/gogs/gogs/releases/tag/v0.14.1
- https://github.com/gogs/gogs/pull/8128
