- CISA adicionou Gogs CVE-2025-8110 ao seu catálogo de vulnerabilidades exploradas conhecidas
- Evitar links simbólicos críticos permite a execução remota de código não autenticado por meio da API PutContents
- Mais de 700 servidores Gogs foram comprometidos; as agências devem fazê-lo antes de 2 de fevereiro de 2026
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou uma nova falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), indicando que ela está sendo ativamente explorada em estado selvagem, além de exigir que as agências do Poder Executivo Civil Federal (FCEB) corrijam ou parem de usar o software vulnerável por completo.
O software em risco é o Gogs, um serviço Git auto-hospedado que permite às organizações executar alternativas privadas ao Github ou GitLab.
Gogs fornece uma interface web para hospedar repositórios Git, gerenciar usuários e equipes, gerenciar solicitações pull, revisões de código, problemas e documentação principal do projeto, tudo em uma infraestrutura controlada pelo usuário. Ele foi escrito em Go e projetado para ser leve e rápido. Na prática, o Gogs é usado para ambientes de desenvolvimento interno, redes air-gap ou empresas que desejam controle total de acesso ao código-fonte.
Dados para venda
Pesquisadores de segurança cibernética da Wiz Research descobriram recentemente uma vulnerabilidade crítica de desvio de link simbólico que permite que usuários não autenticados obtenham execução remota de código (RCE) explorando a API PutContents. Com o RCE, os fraudadores podem assumir completamente o controle do servidor subjacente, espalhando malware, exfiltrando dados confidenciais e muito mais.
A vulnerabilidade agora é rastreada como CVE-2025-8110 e recebeu uma pontuação de gravidade de 8,7/10 (alta). Foi adicionado ao KEV em 12 de janeiro de 2026, dando às agências da FCEB até 2 de fevereiro para aplicar o patch. A correção, que pode ser encontrada lá Gi Hubadiciona validação de link simbólico em cada ponto de gravação do arquivo, mitigando efetivamente o problema.
Em seu relatório, BipandoComputador Conforme observado em 1º de novembro de 2025, já ocorreram duas ondas de ataques que exploraram esta vulnerabilidade como um dia zero. Existem atualmente mais de 1.400 servidores Gogs expostos online, com mais de 700 instâncias já mostrando sinais de comprometimento.
Em outras palavras, parece que os cibercriminosos estão se divertindo com instâncias vulneráveis do Gogs, enquanto as organizações estão atrasadas na correção.
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
