サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、広く利用されているセルフホスト型GitサービスであるGogsに影響する重大な脆弱性を、既知の悪用されている脆弱性(KEV)カタログに正式に追加しました。
この警告は、当該欠陥が実際の環境で積極的に悪用されていると報告されていることから、このプラットフォームに依存する組織に差し迫った脅威があることを強調しています。
CVE-2025-8110に指定されたこの欠陥は、GogsのPutContents APIにおけるシンボリックリンクの不適切な取り扱いによって引き起こされる深刻なパストラバーサルの弱点です。
この脆弱性は、制限されたディレクトリへのパス名の制限が不適切であることを扱うCWE-22分類に該当します。
この種の脆弱性により、攻撃者はファイルパス参照を操作することでディレクトリ制限を回避でき、意図された範囲を超えて機密ファイルやシステムリソースへアクセスできる可能性があります。
この弱点の技術的性質により、脅威アクターは侵害されたシステム上で任意のコードを実行でき、データの持ち出し、ラテラルムーブメント、インフラの乗っ取りなど、さらなる悪意ある活動の足掛かりとなります。
具体的な脅威アクターや攻撃手法は明らかにされていないものの、積極的に悪用されている状況により、この脆弱性は理論上の懸念を超えたものとなっています。
セキュリティ研究者は、この欠陥がランサムウェアのツールキットやその他のコモディティマルウェアのキャンペーンに組み込まれるかどうかの監視を続けています。
CISAのKEVカタログへの掲載は、連邦政府機関および請負業者に対して特定のコンプライアンス義務を発生させます。
サイバーセキュリティ・インフラストラクチャセキュリティ庁の拘束力のある運用指令(Binding Operational Directive)22-01の下で、影響を受ける組織は2026年2月2日までにこの脆弱性を是正しなければならず、実装に割ける時間が限られる厳格な期限となっています。
CISAは、3つの観点から直ちに行動することを推奨しています。第一に、組織はGogs開発者が公開したセキュリティパッチおよび緩和策を遅滞なく適用すべきです。
クラウドベースの展開を運用している場合、BOD 22-01のガイダンスへの準拠が必須となります。
パッチが利用できない状況では、検証済みの修正が利用可能になるまで、影響を受けるGogsインスタンスの使用を中止するようCISAは助言しています。
システム管理者は、いくつかの防御策を優先すべきです。すなわち、すべてのGogsインストールにわたるパッチ適用の加速、疑わしいAPIアクティビティパターンに対する厳格な監視の実装、そして潜在的な侵害を封じ込めるためのネットワークセグメンテーションの確立です。
さらに、アクセス制御の見直しと、未承認のアクセス試行やコード実行の兆候についてログを監査することは、過去の悪用を検知するうえで不可欠です。
積極的な悪用状況と、任意コード実行の欠陥が持つ重大性を踏まえ、セキュリティチームはCVE-2025-8110を最優先の是正対象として扱わなければなりません。
Gogsを運用する組織は、2月2日の期限を目標ではなく最低限の基準として捉えるべきであり、より迅速な是正によって、脆弱なインスタンスを積極的に探し回る脅威アクターに対する露出期間を短縮できます。
翻訳元: https://cyberpress.org/cisa-gogs-vulnerability/