详细内容或原文请订阅后点击阅览
700 多个自托管 Git 遭受 0day 攻击,且修复即将到来
超过一半的互联网暴露实例已受到攻击攻击者正在积极利用 Gogs(一种流行的自托管 Git 服务)中的零日漏洞,而开源项目尚未修复。
来源:The Register _恶意软件攻击者正在积极利用 Gogs(一种流行的自托管 Git 服务)中的零日漏洞,而该开源项目尚未修复。
据 Wiz 研究人员称,已有 700 多个实例在持续的攻击中受到损害,他们将零日发现描述为“意外”,并表示这件事发生在 7 月份,当时他们正在调查受感染机器上的恶意软件。
安全侦探 Gili Tikochinski 和 Yaara Shriki 在周三的博客中表示:“在分析利用尝试的过程中,我们发现威胁行为者正在利用以前未知的缺陷来破坏实例。我们负责任地向维护人员披露了此漏洞。”
Tikochinski 和 Shriki 写道,该团队向 Gogs 的维护人员报告了该安全漏洞,他们“目前正在致力于修复”。但是,他们补充说,“在野外,积极的利用仍在继续。”
该错误被跟踪为 CVE-2025-8110,任何运行暴露于互联网并启用开放注册(这是默认设置)的 Gogs 服务器(版本 0.13.3 或更早版本)的人都容易受到攻击。
CVE-2025-8110 本质上是对先前修补的错误 (CVE-2024-55947) 的绕过,该错误允许经过身份验证的用户覆盖存储库外部的文件,从而导致远程代码执行 (RCE)。早期的RCE是由Manasseh Zhou发现的。
“不幸的是,针对之前的 CVE 实施的修复并未考虑到符号链接,”Wiz 孩子们写道。
Gogs 是用 Go 编写的,它允许用户在自己的服务器或云基础设施上托管 Git 存储库,而不是使用 GitHub 或其他第三方。
Gogs 和一般的 Git 都允许符号链接(或符号链接)。它们充当另一个文件或目录的指针或快捷方式,并且可以指向存储库外部的对象。此外,Gogs API 允许在常规 Git 协议之外修改文件。
以下是步骤: