美國網路安全暨基礎設施安全管理署(CISA)在2026年1月12日,將自架Git服務Gogs的漏洞CVE-2025-8110納入已遭利用的漏洞列表(KEV),並要求美國聯邦民事行政部門機關在2026年2月2日前完成修補或採取替代措施,以降低既有威脅擴散的風險。
Gogs是以Go語言撰寫,主打可自架的輕量Git服務,常見於中小型團隊或內網程式碼託管情境。資安業者Wiz揭露的CVE-2025-8110之所以受到關注,在於攻擊流程貼近實務情境,攻擊者在具備已驗證身分且可建立儲存庫等權限的前提下,可透過PutContents API搭配符號連結(Symbolic Link)繞過既有路徑檢查,將寫入動作導向儲存庫目錄之外,進而在伺服器端達到任意命令執行的效果。研究人員指出,該問題本質是繞開先前的修補措施,凸顯符號連結與路徑邊界檢查要是不嚴謹,仍可能再次被突破。
根據調查,研究人員已辨識出超過700個暴露在網際網路上的Gogs執行個體已出現遭入侵跡象,且時間線可回溯至2025年7月。事實上,Wiz早在2025年7月10日觀察到實際攻擊活動,並於7月17日向Gogs維護團隊通報。隨後CISA在2026年1月12日將CVE-2025-8110納入KEV清單,事件性質也從研究揭露,升級為官方明確列管且已遭利用的弱點項目。
Gogs專案已在GitHub程式碼庫提交針對CVE-2025-8110的修補與說明,核心方向是強化符號連結與路徑邊界檢查,避免透過PutContents等寫入流程把檔案更新導向儲存庫之外。企業與開發團隊應先盤點環境內是否仍在使用Gogs,特別是對外服務節點,再依供應商指引評估更新作業或採取等效緩解措施,例如減少對外曝露面與關閉不必要的開放註冊。
CISA要求聯邦民事行政部門機關依供應商指引套用緩解措施,雲端服務則依相關指引處理,要是無法取得可行緩解措施就應停止使用該產品。CISA透過KEV機制建議各組織依清單排定弱點修補優先順序,將有限資源優先投入已被證實遭到利用的漏洞。
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
