بهره‌برداری فعال از آسیب‌پذیری خطرناک Gogs

کمیته رکن چهارم – آژانس CISA نسبت به بهره‌برداری فعال از آسیب‌پذیری خطرناک در پلتفرم Gogs با شناسه CVE-2025-8110 هشدار داده که می‌تواند منجر به اجرای کد از راه دور شود، در حالی که هنوز وصله رسمی برای آن منتشر نشده است.

به گزارش کمیته رکن چهارم، آژانس امنیت سایبری و زیرساخت‌های ایالات متحده (CISA) اعلام کرده است که آسیب‌پذیری خطرناکی در پلتفرم Gogs مورد سوءاستفاده فعال مهاجمان قرار گرفته و این نقص به فهرست آسیب‌پذیری‌های در حال بهره‌برداری (KEV) افزوده شده است. این آسیب‌پذیری با شناسه CVE-2025-8110 دارای امتیاز شدت ۸٫۷ بوده و یک نقص مسیر‌یابی (Traversal) در عملکرد API مربوط به فایل‌های مخزن است که منجر به اجرای کد از راه دور می‌شود.
براساس اعلام تیم امنیتی Wiz که این نقص را شناسایی کرده، مهاجم می‌تواند با ایجاد یک مخزن Git، ثبت یک Symlink که به فایل‌های خارج از مخزن اشاره دارد، و استفاده از API مربوط به PutContents برای بازنویسی آن لینک، فایل‌هایی حساس در سرور را دستکاری کرده و کنترل سیستم را در دست بگیرد.
یکی از سناریوهای سوءاستفاده، بازنویسی فایل تنظیمات sshCommand است که در نهایت به مهاجم امکان اجرای دستورات دلخواه از راه دور را می‌دهد. طبق بررسی‌ها، تاکنون بیش از ۷۰۰ نمونه آلوده از Gogs شناسایی شده‌اند و حدود ۱۶۰۰ سرور Gogs در سطح اینترنت در معرض خطر هستند. بیشترین تعداد سرورهای آسیب‌پذیر در کشور چین، ایالات متحده، آلمان، هنگ‌کنگ و روسیه قرار دارند.
در حال حاضر وصله امنیتی نهایی برای این آسیب‌پذیری منتشر نشده، اما در مخزن GitHub پروژه، اصلاحاتی در شاخه main اضافه شده که قرار است در نسخه‌های آینده Docker با تگ‌های gogs:latest و gogs:next-latest اعمال شود.
تا زمان انتشار نسخه پایدار، به کاربران Gogs توصیه می‌شود اقدامات زیر را انجام دهند:
غیرفعال‌سازی ثبت‌نام باز (Open Registration)
محدودسازی دسترسی به سرور با استفاده از VPN یا لیست سفید (Allow List)
نظارت مستمر بر فایل‌ها و دسترسی‌های حساس در سرور
همچنین CISA به آژانس‌های فدرال دستور داده است که تا تاریخ ۱۳ بهمن ۱۴۰۴ (۲ فوریه ۲۰۲۶) اقدامات حفاظتی لازم را برای کاهش ریسک این آسیب‌پذیری اجرا کنند.
این آسیب‌پذیری، به دلیل امکان دسترسی مستقیم به فایل‌سیستم و اجرا بدون احراز هویت، تهدیدی جدی برای سرورهای آسیب‌پذیر محسوب می‌شود و ممکن است منجر به تسلط کامل مهاجم بر سامانه شود. سازمان‌ها باید نسبت به ایمن‌سازی فوری این سرویس اقدام کنند.