CVE-2025-8110

Nome do Software Vulnerável e Versões Afetadas Versões do Gogs anteriores à 0.13.0 com a API PutContents ativada Versões do Gogs 0.13.3 e anteriores

Descrição O Gogs contém uma vulnerabilidade de path traversal na API PutContents, permitindo a execução remota de código. Esta falha contorna uma correção anterior e permite que atacantes autenticados sobrescrevam arquivos fora do repositório, potencialmente levando à execução arbitrária de código. Mais de 700 instâncias auto-hospedadas do Gogs foram comprometidas, com mais da metade das instâncias publicamente acessíveis afetadas. A vulnerabilidade está sendo ativamente explorada e nenhum patch oficial está disponível atualmente. Atacantes podem utilizar symlinks para esse fim, potencialmente sobrescrevendo arquivos críticos, como arquivos de configuração do Git. A API PutContents permite que atacantes gravem conteúdo arbitrário fora do limite do repositório. Isso pode levar à execução de código não autorizado, à exfiltração de código fonte, ao roubo de credenciais e ao comprometimento da cadeia de suprimentos.

Recomendações Versões do Gogs anteriores à 0.13.0 com a API PutContents ativada: Desative a API PutContents ou bloqueie solicitações PUT para /api/v1/repos//contents/ Versões do Gogs 0.13.3 e anteriores: Desative o registro aberto de usuários. Versões do Gogs 0.13.3 e anteriores: Restrinja a exposição à internet usando uma VPN ou lista de permissão de IP. Versões do Gogs 0.13.3 e anteriores: Monitore a criação suspeita de repositórios e o abuso de API. Versões do Gogs 0.13.3 e anteriores: Isole os sistemas afetados.