Символические ссылки — новый 0Day. 700 серверов Gogs взломаны в ходе массовой атаки
NewsMakerНовый баг нулевого дня в Gogs позволяет обычному пользователю превратиться в удалённого админа сервера — и этим уже вовсю пользуются злоумышленники.
Злоумышленники эксплуатируют новую уязвимость нулевого дня в Gogs — популярном self-hosted Git-сервисе, — причём исправления от разработчиков пока нет. По данным Wiz, в ходе текущей кампании уже скомпрометировано более 700 инстансов, а атакующий код всё ещё активно используется.
Специалисты утверждают , что наткнулись на проблему случайно: в июле они разбирали заражённую машину и заметили странные попытки эксплуатации Gogs. В процессе анализа стало ясно, что злоумышленник использует ранее неизвестный баг для взлома инстансов. О находке сообщили мейнтейнерам Gogs, которые сейчас работают над патчем, однако атаки продолжаются.
Уязвимость получила идентификатор CVE-2025-8110. Под удар попадают серверы Gogs версии 0.13.3 и ниже, если они доступны из интернета и при этом включена открытая регистрация новых пользователей — а это значение используется по умолчанию. Фактически речь идёт об обходе предыдущего патча для уязвимости CVE-2024-55947, позволявшей аутентифицированному пользователю перезаписывать файлы за пределами репозитория и тем самым добиваться удалённого выполнения кода . Первую проблему обнаружил исследователь Manasseh Zhou, но, как выяснилось, защиту реализовали не до конца.
Главная недоработка, по словам Wiz, в том, что при исправлении прошлой уязвимости не учли символические ссылки. Gogs написан на Go и позволяет разворачивать собственные Git-репозитории на своём сервере или в облаке, вместо использования GitHub или другого провайдера. Как сам Git, так и Gogs поддерживают символические ссылки (symlink) — по сути, «ярлыки» на другой файл или каталог, причём ссылка может указывать и на объект вне репозитория. При этом API Gogs даёт возможность менять файлы в обход обычного Git-протокола.
Злоумышленники эксплуатируют новую уязвимость нулевого дня в Gogs — популярном self-hosted Git-сервисе, — причём исправления от разработчиков пока нет. По данным Wiz, в ходе текущей кампании уже скомпрометировано более 700 инстансов, а атакующий код всё ещё активно используется.
Специалисты утверждают , что наткнулись на проблему случайно: в июле они разбирали заражённую машину и заметили странные попытки эксплуатации Gogs. В процессе анализа стало ясно, что злоумышленник использует ранее неизвестный баг для взлома инстансов. О находке сообщили мейнтейнерам Gogs, которые сейчас работают над патчем, однако атаки продолжаются.
Уязвимость получила идентификатор CVE-2025-8110. Под удар попадают серверы Gogs версии 0.13.3 и ниже, если они доступны из интернета и при этом включена открытая регистрация новых пользователей — а это значение используется по умолчанию. Фактически речь идёт об обходе предыдущего патча для уязвимости CVE-2024-55947, позволявшей аутентифицированному пользователю перезаписывать файлы за пределами репозитория и тем самым добиваться удалённого выполнения кода . Первую проблему обнаружил исследователь Manasseh Zhou, но, как выяснилось, защиту реализовали не до конца.
Главная недоработка, по словам Wiz, в том, что при исправлении прошлой уязвимости не учли символические ссылки. Gogs написан на Go и позволяет разворачивать собственные Git-репозитории на своём сервере или в облаке, вместо использования GitHub или другого провайдера. Как сам Git, так и Gogs поддерживают символические ссылки (symlink) — по сути, «ярлыки» на другой файл или каталог, причём ссылка может указывать и на объект вне репозитория. При этом API Gogs даёт возможность менять файлы в обход обычного Git-протокола.