La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) ha advertido sobre la explotación activa de una vulnerabilidad grave en Gogs al añadirla a su catálogo de vulnerabilidades explotadas conocidas (KEV).
La vulnerabilidad, rastreada como CVE-2025-8110 (Puntuación CVSS: 8,7) se refiere a un caso de recorrido de ruta en el editor de archivos del repositorio que podría conducir a la ejecución de código.
“Vulnerabilidad de recorrido de ruta de Gogs: Gogs contiene una vulnerabilidad de recorrido de ruta que afecta el manejo inadecuado de enlaces simbólicos en la API PutContents y podría permitir la ejecución de código”, dijo CISA en un aviso.
Los detalles de la falla salieron a la luz el mes pasado cuando Wiz dijo que había descubierto que estaba siendo explotada en ataques de día cero. Básicamente, la vulnerabilidad evita las protecciones implementadas para CVE-2024-55947 para lograr la ejecución de código mediante la creación de un repositorio Git, la confirmación de un enlace simbólico que apunta a un objetivo confidencial y el uso de la API PutContents para escribir datos en el enlace simbólico.
Esto, a su vez, hace que el sistema operativo subyacente navegue hasta el archivo real al que apunta el enlace simbólico y sobrescriba el archivo de destino fuera del repositorio. Un atacante podría aprovechar este comportamiento para anular los archivos de configuración de Git, en particular la configuración sshCommand, otorgándoles así privilegios de ejecución de código.
Wiz dijo que ha identificado 700 instancias de Gogs comprometidas. Según la plataforma de gestión de superficies de ataque Censys, hay alrededor de 1.600 servidores Gogs expuestos a Internet, la mayoría de los cuales están ubicados en China (991), Estados Unidos (146), Alemania (98), Hong Kong (56) y Rusia (49).
Actualmente no hay parches que aborden CVE-2025-8110, aunque las solicitudes de extracción en GitHub muestran que se han realizado los cambios de código necesarios. “Una vez que la imagen esté construida en main, este CVE se parcheará tanto en gogs/gogs:latest como en gogs/gogs:next-latest”, dijo uno de los mantenedores del proyecto la semana pasada.
A falta de una solución, se recomienda a los usuarios de Gogs que deshabiliten la configuración de registro abierto predeterminada y restrinjan el acceso al servidor mediante una VPN o una lista de permitidos. Las autoridades del Poder Ejecutivo Civil Federal (FCEB) deben tomar las medidas correctivas necesarias antes del 2 de febrero de 2026.
About The Author
