В Gogs обнаружена критическая уязвимость, позволяющая выполнить произвольный код через опцию «Rebase before merging». Rapid7 оценила её в 9,4 по CVSS; почти все инстансы с настройками по умолчанию находятся в зоне риска. Атакующий может зарегистрироваться, создать репозиторий, включить rebase‑слияние и, создав пулл‑реквест с параметром –exec, выполнить произвольную команду без прав администратора. Пока патча нет, рекомендуется отключить открытая регистрация, запретить создание репозиториев и проверить настройки rebase‑слияния.
