В конце декабря 2025 года в Банке данных угроз безопасности информации (BDU) была зарегистрирована новая серьезная уязвимость в платформе для совместной разработки Forgejo. Эта проблема, получившая идентификаторы BDU:2025-16352 и CVE-2025-68937, связана с некорректной обработкой символических ссылок в UNIX-подобных системах. Эксперты оценивают угрозу как критическую, поскольку удаленный злоумышленник может получить полный контроль над уязвимым экземпляром Forgejo, просто отправив специально созданный файл.
Детали уязвимости
Уязвимость затрагивает версии Forgejo до 11.0.7 и до 13.0.2. Она классифицируется как "Отслеживание символьных ссылок UNIX" (CWE-61). По сути, механизм обработки файлов в платформе не проверяет надежность символических ссылок. Следовательно, злоумышленник может создать ссылку, указывающую на критически важные системные файлы за пределами предназначенной для загрузки директории. В результате при определенных условиях это позволяет перезаписать конфигурационные файлы или даже исполнить произвольный код на сервере.
Уровень опасности подчеркивается оценками по метрике CVSS. Базовая оценка по версии CVSS 3.1 достигает максимального значения 9.0 из 10.0, что соответствует критическому уровню. Вектор атаки оценивается как сетевой (AV:N), а для успешной эксплуатации требуется низкий уровень привилегий (PR:N) и не требуется взаимодействие с пользователем (UI:N). Наиболее опасным последствием является полная компрометация конфиденциальности (C:H), целостности (I:H) и доступности (A:H) системы.
Разработчики Forgejo уже подтвердили наличие уязвимости и выпустили исправления. Проблема была устранена в рамках мильстоунов 27340 и 29156 на платформе Codeberg. Соответственно, основная и самая эффективная мера защиты - немедленное обновление Forgejo до актуальных версий, которые не подвержены данной уязвимости. В частности, пользователям необходимо обновиться до версий, вышедших после исправления, следуя официальным рекомендациям.
Однако в текущей геополитической обстановке Национальный координационный центр по компьютерным инцидентам (НКЦКИ) обращает особое внимание на источник обновлений. В рекомендациях к уязвимости BDU:2025-16352 указано, что установку обновлений следует производить только из доверенных источников и после тщательной оценки всех сопутствующих рисков. Данная оговорка связана с санкционными ограничениями и потенциальными угрозами цепочки поставок программного обеспечения.
Если немедленное обновление невозможно, специалисты по кибербезопасности рекомендуют внедрить ряд компенсирующих мер. Во-первых, необходимо ограничить возможность загрузки файлов из недоверенных источников. Во-вторых, следует использовать межсетевые экраны для строгого контроля удаленного доступа к интерфейсу Forgejo. Кроме того, эффективной практикой является организация доступа по принципу "белого списка" и полное исключение доступа к платформе из интернета, если это позволяет рабочий процесс.
Дополнительный уровень защиты могут обеспечить системы обнаружения и предотвращения вторжений (IDS/IPS). Эти системы способны выявлять аномальные паттерны активности, которые могут свидетельствовать о попытке эксплуатации уязвимости, связанной с манипулированием символическими ссылками. Параллельно рекомендуется использовать антивирусное программное обеспечение для сканирования всех загружаемых файлов, хотя эта мера может быть не всегда эффективна против узкоспециализированных эксплойтов.
На момент публикации информации в BDU наличие публичного эксплойта (программы для использования уязвимости) уточняется. Тем не менее, высокая степень критичности и относительная простота потенциального вектора атаки делают эту уязвимость привлекательной мишенью для злоумышленников, включая группы продвинутых постоянных угроз (APT). Поэтому задержка с установкой патчей значительно повышает риск успешной кибератаки.
Forgejo представляет собой популярный форк платформы Gitea, ориентированный на свободное и этичное развитие. Он широко используется командными проектами для управления исходным кодом. Компрометация такого сервера может привести к катастрофическим последствиям: краже интеллектуальной собственности, внедрению вредоносного кода в репозитории (supply-chain attack) или использованию сервера в качестве плацдарма для атак на внутреннюю сеть организации. Таким образом, данная уязвимость требует самого серьезного и безотлагательного внимания со стороны системных администраторов и отделов информационной безопасности.
Ссылки
- https://bdu.fstec.ru/vul/2025-16352
- https://www.cve.org/CVERecord?id=CVE-2025-68937
- https://codeberg.org/forgejo/forgejo/milestone/27340
- https://codeberg.org/forgejo/forgejo/milestone/29156
- https://codeberg.org/forgejo/security-announcements/issues/43
- https://codeberg.org/forgejo/forgejo?spm=a2ty_o01.29997173.0.0.a5655171bbYC4E
- https://codeberg.org/forgejo/forgejo/src/branch/forgejo/release-notes-published/13.0.2.md
- https://codeberg.org/forgejo/forgejo/src/branch/forgejo/release-notes-published/11.0.7.md
- https://blog.gitea.com/release-of-1.24.7/
