Μια κρίσιμη προειδοποίηση σχετικά με μια ευπάθεια διάβασης μονοπατιών στο Gogs, μια αυτο-φιλοξενούμενη υπηρεσία Git, η οποία χρησιμοποιείται ενεργά στη φύση.
Η ευπάθεια, η οποία παρακολουθείται ως CVE-2025-8110, προστέθηκε στον κατάλογο γνωστών εκμεταλλευόμενων ευπαθειών (KEV) της CISA στις 12 Ιανουαρίου 2026, σηματοδοτώντας την ενεργή εκμετάλλευση από φορείς απειλών.
| Αναγνωριστικό CVE | CVE-2025-8110 |
|---|---|
| Τύπος ευπάθειας | Διαδρομή διαδρομής – Λανθασμένος χειρισμός συμβολικών συνδέσμων |
| Σχετικό CWE | CWE-22 |
| Σύγκρουση | Εκτέλεση Κώδικα |
Το CVE-2025-8110 επηρεάζει το Gogs και προέρχεται από ακατάλληλο χειρισμό συμβολικών συνδέσμων στο PutContents API. Αυτό το ελάττωμα διέλευσης διαδρομής επιτρέπει στους εισβολείς να διαφεύγουν από περιορισμένους καταλόγους και ενδεχομένως να εκτελούν αυθαίρετο κώδικα σε ευάλωτα συστήματα.
Η ευπάθεια σχετίζεται με το CWE-22, το οποίο περιγράφει τον ακατάλληλο περιορισμό των ονομάτων διαδρομής σε περιορισμένους καταλόγους.
Τα τρωτά σημεία διέλευσης διαδρομής εμφανίζονται όταν οι εισβολείς χρησιμοποιούν ειδικά στοιχεία, όπως ακολουθίες “../”, για πλοήγηση εκτός προβλεπόμενων καταλόγων και πρόσβαση σε ευαίσθητα αρχεία ή εκτέλεση κακόβουλου κώδικα.
Στην περίπτωση του Gogs, το ελάττωμα στον χειρισμό συμβολικών συνδέσμων δημιουργεί μια ευκαιρία για τους εισβολείς να χειριστούν τις διαδρομές αρχείων και να επιτύχουν την εκτέλεση κώδικα.
Η προσθήκη του CVE-2025-8110 από την CISA στο Κατάλογος KEV υποδεικνύει ότι οι φορείς απειλών εκμεταλλεύονται ενεργά αυτήν την ευπάθεια σε επιθέσεις πραγματικού κόσμου.
Αν και παραμένει άγνωστο εάν το ελάττωμα χρησιμοποιείται σε καμπάνιες ransomware, η πιθανότητα εκτέλεσης κώδικα το καθιστά σοβαρό κίνδυνο ασφάλειας για οργανισμούς που εκτελούν επηρεασμένες εγκαταστάσεις Gogs.
Οι ομοσπονδιακές υπηρεσίες πρέπει να αντιμετωπίσουν αυτήν την ευπάθεια έως τις 2 Φεβρουαρίου 2026, σύμφωνα με την δεσμευτική επιχειρησιακή οδηγία (BOD) 22-01.
Οι οργανισμοί παροτρύνονται να εφαρμόσουν αμέσως ενημερώσεις κώδικα και μετριασμούς που παρέχονται από τον προμηθευτή. Για την ανάπτυξη υπηρεσιών cloud, οι διαχειριστές θα πρέπει να ακολουθούν τις οδηγίες στο BOD 22-01.
Εάν δεν υπάρχουν διαθέσιμα μέτρα μετριασμού, η CISA συνιστά τη διακοπή της χρήσης του ευάλωτου προϊόντος.
