Una vulnerabilidad de seguridad de alta gravedad sin parches en Gogs ha sido objeto de explotación activa, con más de 700 instancias comprometidas accesibles a través de Internet, según nuevos hallazgos de Wiz.
El defecto, rastreado como CVE-2025-8110 (Puntuación CVSS: 8,7), es un caso de sobrescritura de archivos en la API de actualización de archivos del servicio Git autohospedado basado en Go. Se dice que actualmente se está trabajando en una solución para el problema. La compañía dijo que descubrió accidentalmente la falla de día cero en julio de 2025 mientras investigaba una infección de malware en la máquina de un cliente.
«El manejo inadecuado de enlaces simbólicos en la API PutContents en Gogs permite la ejecución local de código», según una descripción de la vulnerabilidad en CVE.org.
La compañía de seguridad en la nube dijo que CVE-2025-8110 es una solución para una falla de ejecución remota de código previamente parcheada (CVE-2024-55947, puntuación CVSS: 8,7) que permite a un atacante escribir un archivo en una ruta arbitraria en el servidor y obtener acceso SSH al servidor. Los pintores abordaron CVE-2024-55947 en diciembre de 2024.
Wiz dijo que la solución implementada por Gogs para resolver CVE-2024-55947 podría evitarse aprovechando el hecho de que Git (y por lo tanto, Gogs) permite el uso de enlaces simbólicos en repositorios de git, y esos enlaces simbólicos pueden apuntar a archivos o directorios fuera del repositorio. Además, la API de Gogs permite la modificación de archivos fuera del protocolo Git habitual.
Como resultado, un atacante podría aprovechar esta falla al tener en cuenta los enlaces simbólicos para lograr la ejecución de código arbitrario a través de un proceso de cuatro pasos:
- Crear un repositorio git estándar
- Confirmar un único enlace simbólico que apunte a un objetivo sensible
- Utilice la API PutContents para escribir datos en el enlace simbólico, lo que hace que el sistema siga el enlace y sobrescriba el archivo de destino fuera del repositorio.
- Sobrescriba «.git/config» (específicamente sshCommand) para ejecutar comandos arbitrarios
En cuanto al malware implementado en la actividad, se considera que es una carga útil basada en Supershell, un marco de comando y control (C2) de código abierto utilizado a menudo por grupos de hackers chinos que puede establecer un shell SSH inverso en un servidor controlado por un atacante («119.45.176(.)196»).
Wiz dijo que los atacantes detrás de la explotación de CVE-2025-8110 dejaron atrás los repositorios creados (por ejemplo, «IV79VAew / Km4zoh4s») en la carga de trabajo en la nube del cliente cuando podrían haber tomado medidas para eliminarlos o marcarlos como privados después de la infección. Este descuido apunta a una campaña de estilo «aplastar y agarrar», añadió.
En total, hay alrededor de 1.400 instancias de Gogs expuestas, de las cuales más de 700 han mostrado signos de compromiso, en particular la presencia de nombres aleatorios de propietario/repositorio de 8 caracteres. Todos los repositorios identificados se crearon alrededor del 10 de julio de 2025.
«Esto sugiere que un solo actor, o quizás un grupo de actores que utilizan todas las mismas herramientas, es responsable de todas las infecciones», dijeron los investigadores Gili Tikochinski y Yaara Shriki.
Dado que la vulnerabilidad no tiene solución, es esencial que los usuarios deshabiliten el registro abierto, limiten la exposición a Internet y escaneen instancias en busca de repositorios con nombres aleatorios de 8 caracteres.
La divulgación se produce cuando Wiz también advirtió que los actores de amenazas están apuntando a los tokens de acceso personal (PAT) de GitHub filtrados como puntos de entrada de alto valor para obtener acceso inicial a los entornos de nube de las víctimas e incluso aprovecharlos para el movimiento lateral entre nubes desde GitHub al plano de control del proveedor de servicios en la nube (CSP).
El problema en cuestión es que un actor de amenazas con permisos de lectura básicos a través de PAT puede usar la búsqueda de código API de GitHub para descubrir nombres secretos incrustados directamente en el código YAML de un flujo de trabajo. Para complicar aún más las cosas, si la PAT explotada tiene permisos de escritura, los atacantes pueden ejecutar código malicioso y eliminar rastros de su actividad maliciosa.
«Los atacantes aprovecharon las PAT comprometidas para descubrir los nombres de GitHub Action Secrets en el código base y los utilizaron en flujos de trabajo maliciosos recién creados para ejecutar código y obtener secretos de CSP», dijo la investigadora Shira Ayal. «También se ha observado que los actores de amenazas filtran secretos a un punto final de webhook que controlan, omitiendo por completo los registros de acción».
