- CISAがGogsのCVE-2025-8110を「既知の悪用されている脆弱性」カタログに追加
- 重大なシンボリックリンク回避により、PutContents API経由で未認証のリモートコード実行が可能に
- 700台超のGogsサーバーが侵害;各機関は2026年2月2日までにパッチ適用が必要
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、新たな不具合を「既知の悪用されている脆弱性(KEV)」カタログに追加した。これは、当該脆弱性が実環境で積極的に悪用されていることを示すだけでなく、連邦文民行政部門(FCEB)の各機関に対し、パッチを適用するか、脆弱なソフトウェアの使用を完全に停止するよう命じるものでもある。
リスクにさらされているソフトウェアはGogsで、組織がGithubやGitLabの代替となるプライベート環境を自前で運用できるセルフホスト型Gitサービスだ。
Gogsは、Gitリポジトリのホスティング、ユーザーやチームの管理、プルリクエスト、コードレビュー、課題管理、基本的なプロジェクト文書化を、すべて利用者の管理下にあるインフラ上で行えるWebインターフェースを提供する。Goで書かれており、軽量かつ高速になるよう設計されている。実際には、Gogsは社内の開発環境、エアギャップネットワーク、あるいはソースコードへのアクセスを完全に制御したい企業でよく利用されている。
販売されるデータ
Wiz Researchのサイバーセキュリティ研究者は最近、未認証ユーザーがPutContents APIを悪用してリモートコード実行(RCE)を達成できる重大なシンボリックリンク回避の脆弱性を発見した。RCEにより、犯罪者は基盤となるサーバーを完全に乗っ取り、マルウェアの展開や機密データの持ち出しなどを行える。
この脆弱性は現在CVE-2025-8110として追跡されており、深刻度スコアは8.7/10(高)と評価された。2026年1月12日にKEVへ追加され、FCEB各機関には2月2日までにパッチを適用する猶予が与えられた。GiHubで確認できる修正は、すべてのファイル書き込みエントリポイントにシンボリックリンクを考慮したパス検証を追加し、問題を効果的に緩和する。
同レポートでBleepingComputerは、2025年11月1日までに、この脆弱性をゼロデイとして悪用する攻撃の波がすでに2回、別々に発生していたと述べた。現在、オンラインに露出しているGogsサーバーは1,400台超にのぼり、すでに700件以上のインスタンスで侵害の兆候が見られる。
言い換えれば、組織のパッチ適用が遅れる一方で、脆弱なGogsインスタンスを相手にサイバー犯罪者がやりたい放題しているようだ。
