В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьезная уязвимость в популярном веб-интерфейсе для системы управления версиями Git - Gogs. Уязвимость, получившая идентификаторы BDU:2025-15737 и CVE-2025-8110, оценивается как высокоопасная. Она затрагивает все версии программного обеспечения до 0.13.3 включительно. Основная проблема заключается в ошибке типа «Обход пути» в API PutContents, что позволяет удаленному злоумышленнику выполнить произвольный код на целевом сервере.
Суть проблемы и механизм эксплуатации
Уязвимость кроется в функции PutContents прикладного программного интерфейса, которая отвечает за запись содержимого файлов в репозиторий. Из-за некорректной проверки путей к каталогам атакующий, имеющий учетную запись с правами на запись, может создать специально сформированную символическую ссылку. Впоследствии, манипулируя этой ссылкой, он способен обойти ограничения файловой системы и записать вредоносный код в критически важные системные каталоги за пределами предназначенной для репозиториев области.
Эксплуатация этой уязвимости приводит к полной компрометации сервера. Злоумышленник получает возможность выполнять любой код с правами пользователя, под которым работает процесс Gogs. Как следствие, атакующий может украсть конфиденциальные данные, включая исходный код и учетные записи, установить программы-вымогатели (ransomware) или создать точку постоянного присутствия (persistence) в системе для дальнейших атак. Важно отметить, что эксплойт для этой уязвимости уже опубликован в открытом доступе, что значительно упрощает ее использование киберпреступниками.
Оценка риска и текущий статус
Все основные версии системы оценки CVSS присваивают уязвимости высокие баллы. Например, базовая оценка по CVSS 3.1 составляет 8.8 из 10. Это подчеркивает серьезность угрозы. Уязвимость классифицируется как уязвимость кода, а ее базовый вектор указывает на возможность атаки через сеть без необходимости взаимодействия с пользователем. Однако для успешной эксплуатации злоумышленнику требуются минимальные привилегии для входа в систему.
На момент публикации бюллетеня BDU точная информация о доступности официального патча от разработчиков Gogs уточняется. Аналогично, данные о том, какие операционные системы и аппаратные платформы подвержены риску в наибольшей степени, пока находятся в стадии сбора. Тем не менее, учитывая характер уязвимости, можно предположить, что она затрагивает все платформы, на которых развернуты уязвимые версии Gogs.
Рекомендуемые компенсирующие меры
В ожидании выхода официального обновления эксперты по кибербезопасности настоятельно рекомендуют администраторам принять ряд компенсирующих мер для снижения риска. Во-первых, следует рассмотреть возможность временного ограничения или полного запрета доступа к интерфейсу Gogs из внешних сетей, включая интернет. Организовать доступ можно через виртуальные частные сети (VPN). Кроме того, эффективной мерой является сегментирование сети для изоляции сервера Gogs от других критически важных сегментов инфраструктуры.
Для защиты на уровне приложения стоит задействовать межсетевые экраны уровня веб-приложений (WAF). Они способны фильтровать входящий трафик и блокировать попытки эксплуатации известных уязвимостей, таких как обход пути. Параллельно необходимо настроить системы обнаружения и предотвращения вторжений (IDS/IPS) для мониторинга сетевой активности и поиска индикаторов компрометации, связанных с попытками атак на Gogs. Регулярный аудит логов и проверка прав доступа пользователей также помогут выявить подозрительные действия на ранней стадии.
Выводы для организаций
Обнаружение уязвимости CVE-2025-8110 в Gogs служит очередным напоминанием о важности своевременного обновления программного обеспечения, особенно того, которое используется для управления критически важными активами, такими как исходный код. Администраторам необходимо незамедлительно провести инвентаризацию своих систем и определить, используются ли уязвимые версии. В случае их обнаружения следует либо применить все доступные компенсирующие меры, либо рассмотреть вопрос об обновлении до последней стабильной версии, как только патч станет доступен. Постоянный мониторинг источников, таких как BDU и базы данных CVE, является обязательной практикой для оперативного реагирования на новые киберугрозы в современной цифровой среде.
Ссылки
- https://bdu.fstec.ru/vul/2025-15737
- https://www.cve.org/CVERecord?id=CVE-2025-8110
- https://www.wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploit
- http://www.openwall.com/lists/oss-security/2025/12/11/3
- http://www.openwall.com/lists/oss-security/2025/12/11/4
