1 Luglio 2026 13:02    Alert

Gogs CVE-2026-52813: path traversal in RCE su Git self-hosted, l'unica sfruttata tra 20 nuove falle

Un semplice account registrato basta per prendere il controllo del server: è quanto consente la CVE-2026-52813 in Gogs, il servizio Git self-hosted usato come alternativa leggera a GitLab e Gitea. ACN ha segnalato un lotto di 20 nuove vulnerabilità nel prodotto, tre classificate critiche e undici alte, ma è questa singola falla a fare la differenza operativa: è l'unica per cui risulta uno sfruttamento attivo in rete, mentre per le altre è disponibile solo codice proof of concept. Il difetto è un path traversal che sfocia in remote code execution: manipolando via API il nome di un'organizzazione con una sequenza di attraversamento delle directory, un attaccante fa creare la cartella dell'organizzazione all'interno del clone locale di un repository personale e, creando poi un repository dentro quell'organizzazione malevola, arriva a scrivere ed eseguire comandi arbitrari.

Lo sfruttamento non richiede privilegi amministrativi: è sufficiente un utente registrato, e la registrazione autonoma è attiva per impostazione predefinita, il che allarga la platea di potenziali attaccanti a chiunque possa aprire un account. L'impatto è un pieno cross-tenant: una volta ottenuta l'esecuzione di codice, l'attaccante può leggere ogni repository dell'istanza, comprese le repo private altrui, sottrarre credenziali e segreti, alterare il codice ospitato e muoversi verso altri sistemi raggiungibili. Il vendor ha corretto il problema nella versione 0.14.3, rilasciata il 7 giugno 2026. La vicenda si somma alla pressione crescente sull'infrastruttura di sviluppo che avevamo già rilevato con la CVE-2026-53435 di Jenkins e il takeover del controller: repository e piattaforme CI/CD sono bersagli di valore, perché chi le compromette mette le mani sul codice e sui segreti dell'intera organizzazione.

È esposto chiunque gestisca un'istanza Gogs raggiungibile e non aggiornata, con la registrazione aperta: scenario comune tra team di sviluppo, laboratori e piccole realtà che self-hostano il proprio Git. Oltre all'aggiornamento, dove non sia strettamente necessaria conviene disabilitare la registrazione autonoma degli utenti, riducendo la superficie d'attacco a chi ha già un accesso legittimo.

  • Versioni affette: Gogs nelle versioni precedenti alla 0.14.3.
  • Azione raccomandata: aggiornare a Gogs 0.14.3 o successiva con urgenza; disabilitare la registrazione autonoma degli utenti dove non indispensabile; verificare la presenza di organizzazioni o repository con nomi anomali e di file non riconosciuti nelle directory dati.

 

Fonti: ACN, The Register, Security Week, NVD