CISA“必须修补”预警：严重Gogs漏洞CVE-2025-8110已在野外活跃

网络安全与基础设施安全局（CISA）已在“必须修补”列表中新增了一项危险漏洞，警告称全球开发者广泛使用的一款热门工具正被积极利用，以入侵网络。该漏洞，被追踪为CVE-2025-8110，影响广泛部署的自托管Git服务Gogs。

CVE-2025-8110尤其狡猾之处在于，它绕过了此前的一项安全修复。这一漏洞的CVSS严重性评分为8.7，属于高危级别，允许攻击者绕过为先前的远程代码执行（RCE）漏洞CVE-2024-55947所采取的防护措施。

该攻击向量利用了“符号链接绕过”漏洞。尽管最初的补丁试图阻止恶意文件操作，但却未能考虑到这种特定的攻击方式。因此，经过身份验证的用户可利用路径遍历技术，覆盖指定存储库目录之外的文件。

从实际角度来看，这使得一名恶意用户——或已攻陷低级别开发者账户的攻击者——能够逃离应用程序的沙箱，并在底层服务器上执行任意代码。

该漏洞于2025年7月10日首次被Wiz Research的研究人员确认为一个活跃的零日漏洞。自那以来，已有越来越多的证据表明该漏洞正被积极利用，促使美国网络安全和基础设施安全局采取了干预措施。

由于Gogs采用Go语言编写，且设计轻量级，它已成为GitLab或GitHub Enterprise等重量级平台的热门替代方案。它经常被部署于本地数据中心和云环境。至关重要的是，作为一款协作工具，这些实例通常会暴露在公共互联网上，从而成为扫描器和自动化漏洞利用脚本的可攻击目标。

联邦文职行政机构（FCEB）各机构已被设定严格期限，须于2026年2月2日前确保其服务器安全或彻底断开连接。

运行Gogs的组织应假定其实例是攻击目标。强烈建议管理员立即检查最新的安全更新，并尽可能确保其部署环境与开放互联网隔离。

关注公众号：拾黑（shiheibook）了解更多

赞助链接：

关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/
四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/