Nezakrpljena zero-day ranjivost u samostalno hostovanom Git servisu Gogs kompromitovala je više od 700 instanci, upozorava kompanija Wiz.
Ranjivost, označena kao CVE-2025-8110, opisuje se kao nepravilno rukovanje simboličkim linkovima u PutContents API-ju. Ovaj propust omogućava autentifikovanim napadačima da prepišu fajlove izvan repozitorijuma i time postignu remote code execution, navodi Wiz, koji je grešku identifikovao i prijavio još u julu.
U suštini, riječ je o symlink zaobilaženju ranjivosti CVE-2024-55947, path traversal propusta u Gogs API-ju za ažuriranje fajlova. Taj propust je zakrpljen u decembru 2024. u verziji Gogs 0.13.1, a omogućavao je napadačima da upisuju fajlove na proizvoljne putanje na serveru, uključujući i osjetljive sistemske ili konfiguracione fajlove.
Uspješna eksploatacija mogla je napadačima obezbijediti SSH pristup kompromitovanim serverima. Iako je ispravka ranije ranjivosti uvela validaciju ulaza za parametar putanje, nije obraćala pažnju na simboličke linkove, što su hakeri mjesecima zloupotrebljavali.
Ovo je moguće jer Git i Gogs podržavaju simboličke linkove koji mogu upućivati na lokacije van repozitorijuma, dok Gogs API dozvoljava izmjene fajlova mimo git protokola. Dodatno, API ne provjerava destinaciju simboličkog linka.
“Pošto Gogs poštuje standardno Git ponašanje, korisnicima omogućava da u repozitorijume komituju simboličke linkove. Ranjivost nastaje jer API upisuje u fajl putanju bez provjere da li ciljni fajl predstavlja symlink koji pokazuje van repozitorijuma. To praktično čini prethodnu validaciju putanje beskorisnom ako je u igri symlink”, objašnjava Wiz.
Za eksploataciju ranjivosti, hakeri kreiraju nove Git repozitorijume, komituju simbolički link koji upućuje na osjetljivu lokaciju, potom koriste PutContents API da upišu podatke kroz symlink i prepišu .git/config, čime postižu proizvoljno izvršavanje komandi.
Prema navodima Wiz-a, postoji više od 1.400 izloženih Gogs instanci, a do sada je kompromitovano više od 700. Svi napadnuti serveri dijelili su isti obrazac: repozitorijumi sa nasumičnim 8-karakternim owner/repo nazivima, kreirani u kratkom vremenskom periodu 10. jula, što ukazuje na jednog ili grupu hakera koji koriste isti alat.
Sve Gogs instance koje rade na verziji 0.13.3 ili starijoj ranjive su na CVE-2025-8110 ako su izložene internetu i imaju omogućenu otvorenu registraciju.
Izvor: SecurityWeek