美国网络安全与基础设施安全局（CISA）已就一个影响Gogs的高危安全漏洞发出活跃利用警告，并将其添加至已知遭利用漏洞（KEV）目录。

该漏洞编号为CVE-2025-8110（CVSS评分：8.7），涉及仓库文件编辑器中的路径遍历问题，可能导致代码执行。

CISA在公告中表示：“Gogs路径遍历漏洞：Gogs存在一个路径遍历漏洞，影响PutContents API中符号链接的不当处理，可能允许代码执行。”

该缺陷的细节于上月曝光，当时Wiz称发现其已在零日攻击中被利用。该漏洞本质上绕过了为CVE-2024-55947设置的保护措施，通过创建git仓库、提交指向敏感目标的符号链接，并利用PutContents API向该符号链接写入数据，从而实现代码执行。

这进而导致底层操作系统跳转到符号链接指向的实际文件，并覆盖仓库外的目标文件。攻击者可利用此行为覆盖Git配置文件（特别是sshCommand设置），从而获取代码执行权限。

Wiz表示已识别出700个遭入侵的Gogs实例。根据攻击面管理平台Censys的数据，目前约有1,600台暴露于互联网的Gogs服务器，其中大部分位于中国（991台）、美国（146台）、德国（98台）、香港（56台）和俄罗斯（49台）。

目前尚无针对CVE-2025-8110的补丁，但GitHub上的拉取请求显示已进行必要的代码更改。项目维护者之一上周表示：“一旦主分支完成镜像构建，gogs/gogs:latest和gogs/gogs:next-latest镜像都将修复此CVE。”

在修复方案发布前，建议Gogs用户禁用默认的开放注册设置，并通过VPN或允许列表限制服务器访问。联邦民事行政部门（FCEB）机构需在2026年2月2日前实施必要的缓解措施。

觉得这篇文章有趣？请关注我们的Google News、Twitter和LinkedIn，阅读更多独家内容。

美国网络安全和基础设施安全局（CISA）已下令各政府机构保护其系统，防范一个已在零日攻击中被利用的高危Gogs漏洞。

Gogs作为GitLab或GitHub Enterprise的替代方案而设计，使用Go语言编写，通常暴露在互联网上以支持远程协作。

该漏洞被追踪为CVE-2025-8110，是一个远程代码执行（RCE）安全漏洞，源于PutContents API中的路径遍历缺陷。它允许经过身份验证的攻击者通过符号链接覆盖仓库外的文件，从而绕过为先前已修补的RCE漏洞（CVE-2024-55947）实施的保护措施。

攻击者可以通过创建包含指向敏感系统文件的符号链接的仓库，然后利用PutContents API通过符号链接写入数据，覆盖仓库外的目标文件，从而滥用此漏洞。通过覆盖Git配置文件（特别是sshCommand设置），威胁行为者可以强制目标系统执行任意命令。

Wiz Research在7月份调查一起影响客户面向互联网的Gogs服务器的恶意软件感染事件时发现了该漏洞，并于7月17日向Gogs维护者报告了此缺陷。维护者在三个月后的10月30日确认了Wiz的报告，并于上周发布了针对CVE-2025-8110的补丁，该补丁在所有文件写入入口点增加了对符号链接的路径验证。

根据Wiz Research分享的披露时间线，在11月1日观察到了针对此漏洞的第二波零日攻击。

在调查这些攻击活动期间，Wiz研究人员发现了超过1,400台暴露在互联网上的Gogs服务器（其中1,250台目前仍处于暴露状态），以及超过700个实例显示出被入侵的迹象。

CISA现已确认Wiz的报告，并将此安全漏洞添加到其"野外被利用漏洞"清单中，命令联邦民事行政部门（FCEB）机构在三周内，即2026年2月2日之前完成修补。

FCEB机构是指美国的非军事行政部门，例如能源部、司法部、国土安全部和国务院。

CISA警告称："此类漏洞是恶意网络行为者的常见攻击媒介，对联邦企业构成重大风险。请根据供应商说明实施缓解措施，遵循适用于云服务的BOD 22-01指南，如果无法实施缓解措施，则停止使用该产品。"

为了进一步减少攻击面，建议Gogs用户立即禁用默认的开放注册设置，并使用VPN或允许列表来限制服务器访问。

此外，希望检查其Gogs实例是否遭受入侵的管理员，应查找PutContents API的可疑使用情况，以及在两波攻击期间创建的具有随机八字符名称的仓库。