La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha advertido sobre la explotación activa de una falla de seguridad de alta gravedad que afecta Gogs por sumando es a sus vulnerabilidades explotadas conocidas ( KEV ) catálogo.

La vulnerabilidad, rastreada como CVE-2025-8110 (puntuación CVSS: 8.7), se refiere a un caso de recorrido de ruta en el editor de archivos del repositorio que podría provocar la ejecución de código.

«Vulnerabilidad de recorrido de Gogs: Gogs contiene una vulnerabilidad de recorrido de ruta que afecta al manejo incorrecto de los enlaces simbólicos en la API PutContents y que podría permitir la ejecución de código», afirma la CISA en un aviso.

Detalles de la deficiencia salió a la luz el mes pasado, cuando Wiz dijo que había descubierto que estaba siendo explotado en ataques de día cero. Básicamente, la vulnerabilidad elude las protecciones establecidas por el CVE-2024-55947 para ejecutar código. Para ello, crea un repositorio de git, coloca un enlace simbólico que apunta a un objetivo sensible y usa la API PutContents para escribir datos en el enlace simbólico.

Esto, a su vez, hace que el sistema operativo subyacente navegue hasta el archivo real al que apunta el enlace simbólico y sobrescriba el archivo de destino fuera del repositorio. Un atacante podría aprovechar este comportamiento para sobrescribir los archivos de configuración de Git, específicamente la configuración de SSHCommand, dándoles privilegios de ejecución de código.

Wiz dijo que identificó 700 instancias de Gogs comprometidas. Según dato de la plataforma de gestión de superficies de ataque Censys, hay alrededor de 1600 servidores Gogs expuestos a Internet, la mayoría de los cuales se encuentran en China (991), EE. UU. (146), Alemania (98), Hong Kong (56) y Rusia (49).

Actualmente no hay parches que aborden el CVE-2025-8110, aunque tira peticiones en GitHub muestran que se han realizado los cambios de código necesarios. «Una vez que la imagen esté construida en main, tanto gogs/gogs:latest como gogs/gogs:next-latest tendrán este CVE parcheado», explica uno de los responsables del proyecto dijo la semana pasada.

En ausencia de una solución, se recomienda a los usuarios de Gogs que deshabiliten la configuración de registro abierto predeterminada y limiten el acceso al servidor mediante una VPN o una lista de permitidos. Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las mitigaciones necesarias antes del 2 de febrero de 2026.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.