A agência americana de segurança cibernética Cybersecurity and Infrastructure Security Agency (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica no Gogs, incluindo-a em seu catálogo Known Exploited Vulnerabilities (KEV).
Identificada como
CVE-2025-8110
, com pontuação CVSS de 8,7, a falha está relacionada a um problema de path traversal no editor de arquivos do repositório, que pode permitir a execução remota de código.
Segundo o comunicado da CISA, a vulnerabilidade ocorre devido ao tratamento inadequado de links simbólicos na API PutContents, o que abre brecha para que invasores executem códigos maliciosos por meio desse mecanismo.
A vulnerabilidade veio à tona no mês passado, quando a empresa de segurança Wiz revelou que ela já estava sendo explorada em ataques zero-day.
O método consiste em criar um repositório git, comprometer um link simbólico que aponta para um arquivo sensível e, em seguida, usar a API PutContents para escrever dados no symlink.
Esse procedimento faz com que o sistema operacional subjacente acesse e sobrescreva arquivos fora do repositório original, incluindo arquivos críticos de configuração do Git, como o parâmetro sshCommand, que pode conceder controle para execução remota de código.
A Wiz identificou cerca de 700 instâncias do Gogs comprometidas.
De acordo com dados da plataforma de gestão de superfície de ataque Censys, existem aproximadamente 1.600 servidores Gogs expostos na internet, com a maioria localizada na China (991), seguida pelos Estados Unidos (146), Alemanha (98), Hong Kong (56) e Rússia (49).
Até o momento, não há patches oficiais disponíveis para corrigir o
CVE-2025-8110
.
Entretanto, pull requests no GitHub indicam que as alterações necessárias no código já foram implementadas.
Um dos mantenedores do projeto informou que, assim que uma nova imagem for compilada no branch principal, as versões gogs/gogs:latest e gogs/gogs:next-latest estarão corrigidas.
Enquanto isso, usuários do Gogs são recomendados a desabilitar o registro aberto por padrão e restringir o acesso ao servidor por meio de VPN ou listas de permissão (allow-list).
Agências federais do executivo civil dos EUA (FCEB) devem adotar essas medidas mitigatórias até 2 de fevereiro de 2026.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...