美国网络安全与基础设施安全局(CISA)已就一个影响Gogs的高危安全漏洞发出活跃利用警告,并将其添加至已知遭利用漏洞(KEV)目录。

该漏洞编号为CVE-2025-8110(CVSS评分:8.7),涉及仓库文件编辑器中的路径遍历问题,可能导致代码执行。

CISA在公告中表示:“Gogs路径遍历漏洞:Gogs存在一个路径遍历漏洞,影响PutContents API中符号链接的不当处理,可能允许代码执行。”

该缺陷的细节于上月曝光,当时Wiz称发现其已在零日攻击中被利用。该漏洞本质上绕过了为CVE-2024-55947设置的保护措施,通过创建git仓库、提交指向敏感目标的符号链接,并利用PutContents API向该符号链接写入数据,从而实现代码执行。

这进而导致底层操作系统跳转到符号链接指向的实际文件,并覆盖仓库外的目标文件。攻击者可利用此行为覆盖Git配置文件(特别是sshCommand设置),从而获取代码执行权限。

Wiz表示已识别出700个遭入侵的Gogs实例。根据攻击面管理平台Censys的数据,目前约有1,600台暴露于互联网的Gogs服务器,其中大部分位于中国(991台)、美国(146台)、德国(98台)、香港(56台)和俄罗斯(49台)。

目前尚无针对CVE-2025-8110的补丁,但GitHub上的拉取请求显示已进行必要的代码更改。项目维护者之一上周表示:“一旦主分支完成镜像构建,gogs/gogs:latest和gogs/gogs:next-latest镜像都将修复此CVE。”

在修复方案发布前,建议Gogs用户禁用默认的开放注册设置,并通过VPN或允许列表限制服务器访问。联邦民事行政部门(FCEB)机构需在2026年2月2日前实施必要的缓解措施。

觉得这篇文章有趣?请关注我们的Google News、Twitter和LinkedIn,阅读更多独家内容。

标签: 网络安全, CVE-2025-8110, Gogs漏洞, 代码执行, 路径遍历

添加新评论