کمیته رکن چهارم – پژوهشگران امنیتی اعلام کردند یک آسیبپذیری روز-صفر در سرویس Git سبک Gogs بهطور فعال در حال بهرهبرداری است. این نقص امنیتی که با شناسه CVE-2025-8110 ثبت شده، هنوز وصله نشده و تاکنون بیش از ۷۰۰ نمونه آلوده تأیید شده است.
به گزارش کمیته رکن چهارم، این آسیبپذیری با امتیاز شدت ۸٫۷ از ۱۰ در تابستان ۲۰۲۵ شناسایی شد و مربوط به نحوه پردازش نادرست symbolic linkها در تابعی به نام PutContents است. مهاجم میتواند با استفاده از رابط برنامهنویسی مربوط به بهروزرسانی فایل، دادهای را در مسیری خارج از مخزن Git بنویسد و از این طریق به فایلهای سیستمی یا تنظیمات حساس دسترسی یابد.
این آسیبپذیری در واقع راهی برای دور زدن وصلهای است که پیشتر برای نقص CVE-2024-55947 ارائه شده بود. مهاجمان با ایجاد symbolic link در مخزن، سپس بازنویسی فایلهای کلیدی مانند فایل پیکربندی Git، موفق به اجرای کد دلخواه و دسترسی از راه دور میشوند.
تحلیلها نشان میدهد که در این حملات از بدافزاری بر پایه Supershell استفاده شده که معمولاً توسط گروههای هکری چینیزبان به کار میرود. این بدافزار بهصورت یک پوسته معکوس از طریق SSH به سرور مهاجم متصل میشود.
از میان حدود ۱۴۰۰ نمونه Gogs که در اینترنت در دسترس بودهاند، بیش از ۷۰۰ مورد آلوده گزارش شدهاند. تمامی مخازن مخرب دارای نامهایی با ۸ کاراکتر تصادفی بوده و تاریخ ایجاد آنها به ۱۰ ژوئیه ۲۰۲۵ بازمیگردد.
کاربران Gogs باید اقدامات فوری از جمله غیرفعالسازی ثبتنام عمومی، محدودسازی دسترسی اینترنت و بررسی مخازن مشکوک را در اولویت قرار دهند. همچنین گزارشها حاکی از آن است که مهاجمان از توکنهای دسترسی GitHub برای نفوذ اولیه و حرکت جانبی استفاده کردهاند.
این آسیبپذیری همچنان بدون وصله باقی مانده و خطر اجرای کد از راه دور و نفوذ گسترده را به همراه دارد. اتخاذ تدابیر پیشگیرانه فوری برای جلوگیری از حملات بیشتر الزامی است.
