La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha agregado una falla de seguridad de alta gravedad que afecta a Gogs a su catálogo de vulnerabilidades explotadas conocidas (KEV), advirtiendo que puede explotarse activamente.
Esta vulnerabilidad se rastrea como CVE-2025-8110 (puntuación CVSS: 8,7) y está relacionada con un caso de recorrido de ruta en el editor de archivos del repositorio, que podría conducir a la ejecución de código.
«Vulnerabilidad de recorrido de ruta de Gogs: Gogs contiene una vulnerabilidad de recorrido de ruta que afecta el manejo inadecuado de enlaces simbólicos en la API PutContents, permitiendo potencialmente la ejecución de código», dijo CISA en un aviso.
Los detalles de la falla se revelaron el mes pasado cuando Wiz anunció que había descubierto que estaba siendo explotada en un ataque de día cero. Básicamente, esta vulnerabilidad ejecuta código creando un repositorio Git, confirmando un enlace simbólico que apunta a un objetivo confidencial y escribiendo datos en el enlace simbólico utilizando la API PutContents, evitando las protecciones implementadas para CVE-2024-55947.
Esto hace que el sistema operativo subyacente navegue hasta el archivo real al que apunta el enlace simbólico, sobrescribiendo el archivo de destino fuera del repositorio. Un atacante podría usar este comportamiento para anular los archivos de configuración de Git, específicamente la configuración de sshCommand, dándoles permiso para ejecutar código.
Wiz dijo que ha identificado 700 instancias de Gogs comprometidas. Según datos de la plataforma de gestión de superficies de ataque Censys, hay aproximadamente 1.600 servidores Gogs expuestos a Internet, la mayoría ubicados en China (991), Estados Unidos (146), Alemania (98), Hong Kong (56) y Rusia (49).
Actualmente no existe ningún parche para abordar CVE-2025-8110, pero una solicitud de extracción en GitHub indica que se han realizado los cambios de código necesarios. «Cuando la imagen se construye en main, tanto gogs/gogs:latest como gogs/gogs:next-latest serán parcheados con este CVE», dijo uno de los mantenedores del proyecto la semana pasada.
A falta de una solución, recomendamos que los usuarios de Gogs desactiven la configuración de inscripción abierta predeterminada y restrinjan el acceso al servidor mediante una VPN o una lista de permitidos. Las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 2 de febrero de 2026 para aplicar las medidas de mitigación necesarias.
Source link
