← Tornar als articles
Seguretat· 3 min de lectura

CVE-2025-8110: la vulnerabilitat de Gogs que CISA confirma explotada per executar codi

Què és la vulnerabilitat

CVE-2025-8110 és una fallada de tipus path traversal (CWE-22, “limitació incorrecta d’una ruta a un directori restringit”) a Gogs, aquell servidor de repositoris Git autoallotjat escrit en Go que tants administradors executen sobre Linux justament per la seva lleugeresa. El problema és a l’editor d’arxius del repositori, en concret a l’API PutContents, que gestiona malament els enllaços simbòlics (symlinks).

La tècnica d’explotació té la seva elegància, i aquí rau el perill. Un atacant crea un repositori Git, fa commit d’un enllaç simbòlic que apunta a un arxiu sensible del sistema i tot seguit utilitza l’API PutContents per escriure dades a través d’aquest symlink. Amb això aconsegueix escriure en rutes fora del directori del repositori i, al final, executar codi al servidor. El més cridaner és que aquesta fallada se salta les proteccions que s’havien afegit per corregir una vulnerabilitat anterior, CVE-2024-55947.

A qui afecta

El problema és a Gogs 0.13.3 i versions anteriors, tant a Linux com a Windows. Qualsevol organització o particular amb una instància de Gogs autoallotjada (una cosa molt habitual en equips que volen una alternativa lleugera a GitLab) està potencialment exposat.

Per explotar-ho cal autenticació amb privilegis baixos (vector CVSS AV:N/AC:L/PR:L/UI:N): n’hi ha prou que l’atacant tingui un compte d’usuari que pugui crear repositoris i editar arxius. En instàncies amb registre obert o amb molts usuaris interns, la barrera és pràcticament nul·la.

Gravetat

La vulnerabilitat és de severitat alta:

  • CVSS 3.1: 8.8 (NIST/NVD).
  • CVSS 4.0: 8.7 (assignat per Wiz, l’empresa que la va descobrir).
  • Impacte alt en confidencialitat, integritat i disponibilitat.

La troballa va cobrar especial rellevància perquè l’empresa de seguretat Wiz va detectar que ja s’estava explotant en atacs de dia zero (zero-day). Per això CISA (l’agència de ciberseguretat dels EUA) la va ficar al seu catàleg de Vulnerabilitats Explotades Conegudes (KEV) el 12 de gener de 2026, amb un termini de remediació per a les agències federals fins al 2 de febrer de 2026.

Mitigació i pedaç

Quan va sortir l’avís de CISA encara no hi havia cap versió estable pedaçada publicada, tot i que els responsables del projecte ja tenien preparats els canvis de codi necessaris a GitHub. La correcció va arribar amb el commit 553707f, que afegeix validació per rebutjar qualsevol actualització d’arxiu la jerarquia de rutes de la qual contingui enllaços simbòlics.

Recomanacions per a administradors:

  1. Actualitza a la imatge corregida tan aviat com estigui disponible: segons els mantenidors, un cop construïda la imatge a main, tant gogs/gogs:latest com gogs/gogs:next-latest inclouran el pedaç.
  2. Restringeix el registre d’usuaris i revisa qui pot crear repositoris mentre no apliquis el pedaç.
  3. Aïlla el servei darrere d’una VPN o xarxa interna i no exposis Gogs directament a Internet.
  4. Revisa els registres a la recerca de creació de symlinks sospitosos o escriptures estranyes via l’API.

Amb una prova de concepte pública i explotació confirmada, val més tractar l’actualització com a prioritària.

Font