Агентство кибербезопасности США (CISA) обязало федеральные агентства исправить критическую уязвимость в ПО Gogs, которую злоумышленники используют в атаках типа «нулевого дня».
Агентство по кибербезопасности и защите инфраструктуры США (CISA) предписало федеральным агентствам устранить уязвимость высокого уровня в Gogs. Эта уязвимость, отслеживаемая как CVE-2025-8110, позволяет удаленно выполнять код и была использована в атаках типа «нулевой день».
Уязвимость в API PutContents позволяет аутентифицированным злоумышленникам обходить предыдущие исправления, перезаписывая файлы за пределами репозитория с помощью символических ссылок. Это дает возможность заставить системы выполнять произвольные команды, например, перезаписывая файлы конфигурации Git.
Исследователи из Wiz Research обнаружили уязвимость в июле при расследовании заражения вредоносным ПО. Разработчики Gogs выпустили исправления на прошлой неделе, добавив проверку путей с учетом символических ссылок.
Вторая волна атак с использованием этой уязвимости зафиксирована 1 ноября. Исследователи обнаружили более 1400 серверов Gogs, доступных в интернете, из которых более 700 имели признаки компрометации.
CISA добавила уязвимость в список активно используемых и предписала федеральным агентствам устранить ее до 2 февраля 2026 года.
CISA рекомендует применять исправления согласно инструкциям поставщика или прекратить использование продукта, если исправления недоступны. Пользователям Gogs советуют отключить открытую регистрацию и ограничить доступ к серверу.
