Una vulnerabilidad de seguridad sin parches de alta gravedad en Gogs ha sido objeto de explotación activa, con más de 700 instancias comprometidas accesibles a través de Internet, según nuevos hallazgos de Wiz.
La falla, rastreada como CVE-2025-8110 (puntuación CVSS: 8.7), es un caso de sobrescritura de archivos en la API de actualización de archivos del servicio Git autohospedado basado en Go. Se dice que actualmente se está trabajando en una solución para este problema. La compañía dijo que descubrió accidentalmente la falla del día cero en julio de 2025 mientras investigaba una infección de malware en la máquina de un cliente.
«El manejo incorrecto de los enlaces simbólicos en la API PutContents de Gogs permite la ejecución local del código», según una descripción de la vulnerabilidad en CVE.org.
La empresa de seguridad en la nube dijo que el CVE-2025-8110 es una forma de eludir una falla de ejecución remota de código previamente corregida ( CVE-2024-55947 , puntuación CVSS: 8.7) que permite a un atacante escribir un archivo en una ruta arbitraria del servidor y obtener acceso SSH al servidor. Los pintores abordaron el CVE-2024-55947 en diciembre de 2024.
Wiz dijo que la solución implementada por Gogs para resolver el CVE-2024-55947 podría evitarse aprovechando el hecho de que Git (y, por lo tanto, Gogs) permite el uso de enlaces simbólicos en los repositorios de git, y esos enlaces simbólicos pueden apuntar a archivos o directorios fuera del repositorio. Además, la API de Gogs permite modificar archivos fuera del protocolo normal de Git.
Como resultado, un atacante podría aprovechar esta falta de contabilidad de los enlaces simbólicos para lograr la ejecución de código arbitrario mediante un proceso de cuatro pasos:
- Crea un repositorio git estándar
- Confirme un único enlace simbólico que apunte a un objetivo sensible
- Usa la API PutContents para escribir datos en el enlace simbólico, lo que hace que el sistema siga el enlace y sobrescriba el archivo de destino fuera del repositorio
- Sobrescriba «.git/config» (específicamente el comando SSH) para ejecutar comandos arbitrarios
En cuanto al malware desplegado en la actividad, se evalúa como una carga útil basada en Superconcha , un marco de comando y control (C2) de código abierto a menudo usado por Grupos de hackers chinos que puede establecer un shell SSH inverso para un servidor controlado por un atacante («119.45.176 [.] 196").
Wiz dijo que los atacantes que explotaron el CVE-2025-8110 dejaron los repositorios creados (por ejemplo, «iv79vaew/KM4zoH4s») en la carga de trabajo en la nube del cliente, cuando podrían haber tomado medidas para eliminarlos o marcarlos como privados tras la infección. Este descuido apunta a una campaña al estilo de «aplastar y agarrar», añadió.
En total, hay alrededor de 1400 instancias de Gogs expuestas, de las cuales más de 700 han mostrado signos de compromiso, en particular la presencia de nombres de propietarios o repositorios aleatorios de 8 caracteres. Todos los repositorios identificados se crearon alrededor del 10 de julio de 2025.
«Esto sugiere que un solo actor, o quizás un grupo de actores que utilizan las mismas herramientas, son responsables de todas las infecciones», dijeron los investigadores Gili Tikochinski y Yaara Shriki.
Dado que la vulnerabilidad no tiene solución, es esencial que los usuarios deshabiliten el registro abierto, limiten la exposición a Internet y escaneen las instancias en busca de repositorios con nombres aleatorios de 8 caracteres.
La revelación se produce cuando Wiz también advirtió que los actores de amenazas están atacando los tokens de acceso personal (PAT) de GitHub filtrados como puntos de entrada de alto valor para obtener un acceso inicial a los entornos de nube de las víctimas e incluso aprovecharlos para el movimiento lateral entre nubes desde GitHub al plano de control del proveedor de servicios en la nube (CSP).
El problema en cuestión es que un actor de amenazas con permisos de lectura básicos a través de una PAT puede usar la búsqueda de códigos de la API de GitHub para descubrir nombres secretos incrustados directamente en el código YAML de un flujo de trabajo. Para complicar aún más las cosas, si la PAT explotada tiene permisos de escritura, los atacantes pueden ejecutar código malicioso y eliminar los rastros de su actividad maliciosa.
«Los atacantes aprovecharon las PAT comprometidas para descubrir los nombres de GitHub Action Secrets en la base de código y los usaron en flujos de trabajo maliciosos recién creados para ejecutar código y obtener secretos de CSP», dijo la investigadora Shira Ayal dijo . «También se ha observado que los actores de amenazas filtran secretos a un punto final de webhook que controlan, evitando por completo los registros de acciones».