В открытом Git-сервисе Gogs обнаружена критическая уязвимость нулевого дня, которая позволяет удаленно выполнить произвольный код на сервере. Проблема пока не получила идентификатор CVE, но исследователи из Rapid7 оценили ее в 9,4 балла по шкале CVSS.Под угрозой находятся практически все инстансы Gogs, работающие с настройками по умолчанию. Уязвимость связана с некорректной обработкой определенных запросов, что дает злоумышленнику возможность выполнить код без аутентификации.Разработчики Gogs пока не выпустили официальное обновление для устранения проблемы. В качестве временной меры рекомендуется ограничить доступ к серверу из внешних сетей или отключить неиспользуемые функции.Пользователям настоятельно советуют следить за обновлениями и применить патч сразу после его выхода. Эксплуатация уязвимости может привести к полной компрометации сервера с хостингом репозиториев.