更新時間:2026/01/13 17:21:11
發佈時間:2026/01/13 17:21:11
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
資安業者Wiz發布安全公告,指出自架式Git服務Gogs存在一項符號連結(symbolic link)繞過漏洞(CVE-2025-8110)。該漏洞源於PutContents API對符號連結的驗證機制不當,攻擊者可結合既有漏洞(CVE-2024-55947),透過PutContents API覆寫主機上 .git/config等關鍵設定檔,進而執行任意程式碼。
二、已揭露攻擊活動說明
1. GitHub已有CVE-2025-8110的PoC程式碼。[2]
2. Wiz表示已觀察此漏洞被利用於攻擊行為。
▶ 漏洞資訊
⌵
名稱:
CVE-2025-8110
描述:
使用版本:CVSS 4.0
分析分數:8.7
參考來源: NVD [3]
▶ 影響平台
⌵
影響平台-系統:
1. Gogs 0.13.3以下版本受影響。
▶ 建議措施
⌵
1. 官方尚未發布修補程式,建議會員可參考Wiz說明,立即停用「Open Registration」功能,並將Gogs服務限制於VPN或IP白名單存取,避免直接對外公開於網際網路。
2. 建議加強監控下列異常行為,以利即時發現可疑利用跡象:
(1) 非預期建立的隨機8字元儲存庫名稱。
(2) PutContents API異常呼叫行為。
3. 建議持續關注官方修補進度,並於修補版本發布後,依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://www.wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploit | Wiz |
| 2 | https://github.com/Ashwesker/Ashwesker-CVE-2025-8110 | GitHub |
| 3 | https://nvd.nist.gov/vuln/detail/CVE-2025-8110 | NVD |
情資編號:
FISAC-200-202601-0003
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞