Vulnerabilità zero-day non patchata in Gogs su oltre 700 istanze
Vulnerabilità di sicurezza in Gogs: oltre 700 istanze compromesse
Una vulnerabilità di sicurezza di alta gravità non patchata in Gogs è stata sfruttata attivamente, con oltre 700 istanze compromesse accessibili su Internet, secondo nuove scoperte di Wiz. La vulnerabilità, tracciata come CVE-2025-8110 (punteggio CVSS: 8,7), è un caso di sovrascrittura di file nell’API di aggiornamento del file del servizio Git self-hosted basato su Go. Una soluzione per il problema è attualmente in lavorazione.
La società di sicurezza cloud ha scoperto accidentalmente la vulnerabilità zero-day nel luglio 2025 mentre indagava su un’infezione di malware su una macchina di un cliente. La vulnerabilità consente l’esecuzione di codice locale a causa di un handling errato dei collegamenti simbolici nell’API PutContents di Gogs. Ciò consente a un attaccante di scrivere un file in un percorso arbitrario sul server e ottenere l’accesso SSH al server.
Wiz ha scoperto che la soluzione implementata da Gogs per risolvere la vulnerabilità CVE-2024-55947 (punteggio CVSS: 8,7) può essere aggirata sfruttando il fatto che Git (e quindi Gogs) consente l’uso di collegamenti simbolici nei repository Git, e che questi collegamenti possono puntare a file o directory esterne al repository. Di conseguenza, un attaccante può sfruttare questa vulnerabilità per eseguire codice arbitrario attraverso un processo a quattro passaggi.
La società di sicurezza consiglia agli utenti di disabilitare la registrazione aperta, limitare l’esposizione a Internet e scansionare le istanze per repository con nomi di proprietario/random di 8 caratteri. Inoltre, Wiz avverte che gli attori minacciosi stanno bersagliando i token di accesso personali di GitHub (PAT) come punti di ingresso ad alto valore per ottenere l’accesso iniziale agli ambienti cloud delle vittime. essenziale che gli utenti prendano misure per proteggere i propri ambienti cloud e repository Git.
