- CISA adicionou Gogs CVE-2025-8110 ao seu catálogo de vulnerabilidades exploradas conhecidas
- O desvio crítico do link simbólico permite a execução remota de código não autenticado por meio da API PutContents
- Mais de 700 servidores Gogs comprometidos; as agências devem corrigir até 2 de fevereiro de 2026
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou um novo bug ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), sinalizando não apenas que ele está sendo ativamente explorado em estado selvagem, mas também ordenando que as agências do Poder Executivo Civil Federal (FCEB) corrijam-no ou parem de usar o software vulnerável inteiramente.
O software em risco é o Gogs, um serviço Git auto-hospedado que permite que as organizações executem suas próprias alternativas privadas ao Github ou GitLab.
Gogs fornece uma interface web para hospedar repositórios Git, gerenciar usuários e equipes, lidar com solicitações pull, revisões de código, problemas e documentação básica do projeto, tudo em infraestrutura sob o controle do usuário. Ele foi escrito em Go e projetado para ser leve e rápido. Na prática, o Gogs é frequentemente usado para ambientes de desenvolvimento interno, redes isoladas ou empresas que desejam controle total sobre o acesso ao código-fonte.
Dados para venda
Pesquisadores de segurança cibernética da Wiz Research encontraram recentemente uma vulnerabilidade crítica de desvio de link simbólico que permite que usuários não autenticados obtenham execução remota de código (RCE) explorando a API PutContents. Com o RCE, os criminosos podem assumir totalmente o controle do servidor subjacente, implantando malwareexfiltração de dados confidenciais e muito mais.
A vulnerabilidade agora é rastreada como CVE-2025-8110 e recebeu uma pontuação de gravidade de 8,7/10 (alta). Foi adicionado ao KEV em 12 de janeiro de 2026, dando às agências da FCEB até 2 de fevereiro para aplicar o patch. A correção, que pode ser encontrada em Gi Hubadiciona validação de caminho com reconhecimento de link simbólico em todos os pontos de entrada de gravação de arquivo, mitigando efetivamente o problema.
No seu relatório, BipandoComputador declarado em 1º de novembro de 2025, já havia ocorrido duas ondas distintas de ataques aproveitando essa vulnerabilidade como dia zero. Hoje, existem mais de 1.400 servidores Gogs expostos online e mais de 700 instâncias já mostrando sinais de comprometimento.
Em outras palavras, parece que os cibercriminosos estão se divertindo com instâncias vulneráveis do Gogs, enquanto as organizações ficam atrasadas na correção.
Através BipandoComputador
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.