ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekleyerek Gogs’u etkileyen yüksek önemdeki bir güvenlik kusurunun aktif olarak kullanıldığı konusunda uyarıda bulundu.
Şu şekilde izlenen güvenlik açığı: CVE-2025-8110 (CVSS puanı: 8,7), depo dosya düzenleyicisinde kod yürütülmesine neden olabilecek bir yol geçişi durumuyla ilgilidir.
CISA, bir danışma belgesinde “Gogs’un Yol Geçişi Güvenlik Açığı: Gogs, PutContents API’sinde kod yürütülmesine izin verebilecek uygun olmayan Sembolik bağlantı işlemeyi etkileyen bir yol geçiş güvenlik açığı içeriyor” dedi.
Eksikliğin ayrıntıları geçen ay Wiz’in sıfır gün saldırılarında kullanıldığını keşfettiğini söylemesiyle ortaya çıktı. Güvenlik açığı, bir git deposu oluşturarak, hassas bir hedefe işaret eden sembolik bir bağlantı oluşturarak ve sembolik bağlantıya veri yazmak için PutContents API’sini kullanarak kod yürütmeyi gerçekleştirmek amacıyla CVE-2024-55947 için uygulanan korumaları esasen atlıyor.
Bu da, temeldeki işletim sisteminin sembolik bağlantının işaret ettiği gerçek dosyaya gitmesine ve depo dışındaki hedef dosyanın üzerine yazmasına neden olur. Saldırgan bu davranıştan yararlanarak Git yapılandırma dosyalarının, özellikle de sshCommand ayarının üzerine yazabilir ve onlara kod yürütme ayrıcalıkları verebilir.
Wiz, güvenliği ihlal edilmiş 700 Gogs örneği tespit ettiğini söyledi. Saldırı yüzey yönetimi platformu Censys’in verilerine göre, yaklaşık 1.600 internete açık Gogs sunucusu var ve bunların çoğunluğu Çin (991), ABD (146), Almanya (98), Hong Kong (56) ve Rusya’da (49) bulunuyor.
Şu anda CVE-2025-8110’u ele alan herhangi bir yama bulunmuyor, ancak GitHub’daki çekme istekleri gerekli kod değişikliklerinin yapıldığını gösteriyor. Proje yöneticilerinden biri geçen hafta şöyle dedi: “Görüntü main üzerinde oluşturulduktan sonra, hem gogs/gogs:latest hem de gogs/gogs:next-latest’te bu CVE yaması uygulanacaktır.”
Bir düzeltmenin olmaması durumunda, Gogs kullanıcılarına varsayılan açık kayıt ayarını devre dışı bırakmaları ve bir VPN veya izin verilenler listesi kullanarak sunucu erişimini sınırlamaları önerilir. Federal Sivil Yürütme Organı (FCEB) kurumlarının 2 Şubat 2026’ya kadar gerekli azaltımları uygulaması gerekmektedir.