美國網路安全和基礎設施安全局 (CISA) 命令聯邦政府修復 Gogs 遠端程式碼執行漏洞，該漏洞已被零時差攻擊利用
報導摘要：美國網路安全和基礎設施安全局 (CISA) 已下令政府機構保護其系統免受 Gogs 高風險漏洞的攻擊，該漏洞曾被用於零時差攻擊。
Gogs 的設計初衷是作為 GitLab 或 GitHub Enterprise 的替代方案，它使用 Go 語言編寫，通常在線上開放以進行遠端協作。 此遠端程式碼執行 (RCE) 安全漏洞被追蹤為CVE-2025-8110，它源自於 PutContents API 中的路徑遍歷弱點，允許經過驗證的攻擊者透過符號連結覆蓋儲存庫外部的文件，從而繞過針對先前已修復的 RCE 漏洞 (CVE-2024-55947) 的保護措施。
攻擊者可以利用此漏洞，創建包含指向敏感系統檔案的符號連結的倉庫，然後使用 PutContents API 透過符號連結寫入數據，從而覆蓋倉庫外部的目標。透過覆蓋 Git 設定檔（特別是 sshCommand 設定），攻擊者可以強制目標系統執行任意命令。
Wiz Research 在 7 月調查影響客戶面向互聯網的 Gogs 伺服器的惡意軟體感染時發現了該漏洞，並於 7 月 17 日向 Gogs 維護人員報告了該缺陷。三個月後，即 10 月 30 日，他們確認了 Wiz 的報告，並在上週發布了針對 CVE-2025-8110 的補丁，該補丁在所有文件寫入入口點添加了符號鏈接感知路徑驗證。
CISA 現已確認 Wiz 的報告，並將該安全漏洞添加到其已被利用的漏洞清單中，並命令聯邦民事行政部門 (FCEB) 機構在三週內（即 2026 年 2 月 2 日之前）進行修補。
為了進一步減少攻擊面，建議 Gogs 用戶立即停用預設的開放註冊設置，並使用 VPN 或允許清單限制伺服器存取。此外，想要檢查 Gogs 實例是否有入侵跡象的管理員應該尋找對 PutContents API 的可疑使用情況，以及在兩次攻擊期間建立的具有隨機八字元名稱的儲存庫。

資料來源：https://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-gogs-rce-flaw-exploited-in-zero-day-attacks/