サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、セルフホスト型GitサービスであるGogsの重大な脆弱性を「既知の悪用されている脆弱性(Known Exploited Vulnerabilities)」カタログに追加し、この欠陥が実環境で積極的に悪用されていると警告しました。
重大な脆弱性の詳細
CVE-2025-8110として追跡されているこの脆弱性は、PutContents APIにおけるGogsの不適切なシンボリックリンク処理に起因するパストラバーサルの欠陥です。
この弱点により、脅威アクターが脆弱なシステム上で任意のコードを実行できる可能性があり、同プラットフォームを利用する組織に重大なセキュリティリスクをもたらします。
この脆弱性は、CWE-22(制限されたディレクトリへのパス名の不適切な制限)に分類され、一般に「パストラバーサル」として知られています。
この種の欠陥では、パス参照を操作することで、意図された場所の外部に保存されているファイルやディレクトリへ攻撃者がアクセスできてしまいます。
2026年1月12日付でCVE-2025-8110がKEVカタログに追加されたというCISAによる掲載は、攻撃者がすでにこの脆弱性を現実の攻撃で悪用していることを示しています。
この欠陥がランサムウェアのキャンペーンに組み込まれているかどうかは不明ですが、コード実行の可能性があるため、優先度の高いセキュリティ上の懸念事項です。
CISAの拘束力のある運用指令(Binding Operational Directive)22-01により、連邦機関および組織は2026年2月2日までにこの脆弱性へ対処する必要があります。
CISAは、Gogs開発者が提供するセキュリティパッチおよび緩和策を適用し、直ちに対応するよう組織に促しています。
クラウドサービスとして展開している場合、管理者はBOD 22-01のガイダンスに従うべきです。パッチや緩和策が利用できない場合は、修正がリリースされるまで影響を受ける製品の使用を中止することが推奨されます。
システム管理者は、Gogsのインストール環境へのパッチ適用を優先し、不審なAPIアクティビティを監視するとともに、悪用の潜在的な影響を抑えるためにネットワークセグメンテーションを実装すべきです。
また、組織はアクセス制御を見直し、監査ログを確認して、不正アクセスやコード実行の試行の兆候がないかを調査する必要があります。
積極的に悪用されている状況を踏まえ、セキュリティチームはこの脆弱性を最重要課題として扱い、インフラを保護するための修復作業を加速させなければなりません。
翻訳元: https://gbhackers.com/cisa-alerts-gogs-path-traversal-flaw/
