Una vulnerabilidad de seguridad de inscripción compostura sin parches en Gogs ha sido objeto de explotación activa, con más de 700 instancias comprometidas accesibles a través de Internet, según nuevos hallazgos de Wiz.
El defecto, rastreado como CVE-2025-8110 (Puntuación CVSS: 8,7), es un caso de sobrescritura de archivos en la API de aggiornamento de archivos del servicio Git autohospedado basado en Go. Se dice que actualmente se está trabajando en una alternativa para el problema. La compañía dijo que descubrió accidentalmente la rotura de día cero en julio de 2025 mientras investigaba una infección de malware en la máquina de un cliente.
“El manejo inadecuado de enlaces simbólicos en la API PutContents en Gogs permite la ejecución nave de código”, según una descripción de la vulnerabilidad en CVE.org.
La compañía de seguridad en la cirro dijo que CVE-2025-8110 es una alternativa para una rotura de ejecución remota de código previamente parcheada (CVE-2024-55947, puntuación CVSS: 8,7) que permite a un atacante escribir un archivo en una ruta arbitraria en el servidor y obtener ataque SSH al servidor. Los pintores abordaron CVE-2024-55947 en diciembre de 2024.
Wiz dijo que la alternativa implementada por Gogs para resolver CVE-2024-55947 podría evitarse aprovechando el hecho de que Git (y por lo tanto, Gogs) permite el uso de enlaces simbólicos en repositorios de git, y esos enlaces simbólicos pueden apuntar a archivos o directorios fuera del repositorio. Encima, la API de Gogs permite la modificación de archivos fuera del protocolo Git habitual.
Como resultado, un atacante podría disfrutar esta rotura al tener en cuenta los enlaces simbólicos para conseguir la ejecución de código injusto a través de un proceso de cuatro pasos:
- Crear un repositorio git normalizado
- Confirmar un único enlace simbólico que apunte a un objetivo sensible
- Utilice la API PutContents para escribir datos en el enlace simbólico, lo que hace que el sistema siga el enlace y sobrescriba el archivo de destino fuera del repositorio.
- Sobrescriba “.git/config” (específicamente sshCommand) para ejecutar comandos arbitrarios
En cuanto al malware implementado en la actividad, se considera que es una carga útil basada en Supershell, un ámbito de comando y control (C2) de código despejado utilizado a menudo por grupos de hackers chinos que puede establecer un shell SSH inverso en un servidor controlado por un atacante (“119.45.176(.)196”).
Wiz dijo que los atacantes detrás de la explotación de CVE-2025-8110 dejaron antes los repositorios creados (por ejemplo, “IV79VAew / Km4zoh4s”) en la carga de trabajo en la cirro del cliente cuando podrían acontecer tomado medidas para eliminarlos o marcarlos como privados posteriormente de la infección. Este descuido apunta a una campaña de estilo “aplastar y agarrar”, añadió.
En total, hay aproximadamente de 1.400 instancias de Gogs expuestas, de las cuales más de 700 han mostrado signos de compromiso, en particular la presencia de nombres aleatorios de propietario/repositorio de 8 caracteres. Todos los repositorios identificados se crearon aproximadamente del 10 de julio de 2025.
“Esto sugiere que un solo actor, o quizás un género de actores que utilizan todas las mismas herramientas, es responsable de todas las infecciones”, dijeron los investigadores Gili Tikochinski y Yaara Shriki.
Transmitido que la vulnerabilidad no tiene alternativa, es esencial que los usuarios deshabiliten el registro despejado, limiten la exposición a Internet y escaneen instancias en sondeo de repositorios con nombres aleatorios de 8 caracteres.
La divulgación se produce cuando Wiz incluso advirtió que los actores de amenazas están apuntando a los tokens de ataque personal (PAT) de GitHub filtrados como puntos de entrada de detención valía para obtener ataque auténtico a los entornos de cirro de las víctimas e incluso aprovecharlos para el movimiento colateral entre nubes desde GitHub al plano de control del proveedor de servicios en la cirro (CSP).
El problema en cuestión es que un actor de amenazas con permisos de recital básicos a través de PAT puede usar la búsqueda de código API de GitHub para descubrir nombres secretos incrustados directamente en el código YAML de un flujo de trabajo. Para complicar aún más las cosas, si la PAT explotada tiene permisos de escritura, los atacantes pueden ejecutar código solapado y eliminar rastros de su actividad maliciosa.
“Los atacantes aprovecharon las PAT comprometidas para descubrir los nombres de GitHub Action Secrets en el código saco y los utilizaron en flujos de trabajo maliciosos recién creados para ejecutar código y obtener secretos de CSP”, dijo la investigadora Shira Ayal. “Asimismo se ha observado que los actores de amenazas filtran secretos a un punto final de webhook que controlan, omitiendo por completo los registros de hecho”.
