文章总结： WizResearch发现Gogs未修复零日漏洞CVE-2025-8110，攻击者利用PutContentsAPI路径遍历及符号绕过旧补丁，通过覆盖Git配置执行任意代码。超1400台服务器暴露，700台遭入侵植入Supershell恶意软件。建议用户立即禁用开放注册并限制访问，排查随机仓库及可疑API调用。 综合评分： 88 文章分类： 漏洞分析,威胁情报,漏洞预警,应急响应

黑客利用未修复的 Gogs 零日漏洞入侵了 700 台服务器

Rhinoer

犀牛安全

2025年12月25日 00:00 北京

Gogs（一款流行的自托管 Git 服务）中一个未修复的零日漏洞，使得攻击者能够远程执行面向互联网的实例上的代码，并入侵数百台服务器。

Gogs 使用 Go 语言编写，旨在替代 GitLab 或 GitHub Enterprise，并且经常在线开放以进行远程协作。

这些攻击利用的 Gogs 远程代码执行漏洞CVE-2025-8110源于 PutContents API 中的路径遍历弱点。该漏洞允许攻击者利用符号链接覆盖存储库外部的文件，从而绕过之前已修复的远程代码执行漏洞 (CVE-2024-55947) 的保护措施。

虽然修复了 CVE-2024-55947 安全漏洞的 Gogs 版本现在会验证路径名以防止目录遍历，但它们仍然无法验证符号链接的目标位置。攻击者可以利用此漏洞，创建包含指向敏感系统文件的符号链接的存储库，然后使用 PutContents API 通过符号链接写入数据，从而覆盖存储库外部的目标文件。

通过覆盖 Git 配置文件，特别是 sshCommand 设置，攻击者可以强制目标系统执行任意命令。

Wiz Research 在 7 月份调查一起影响客户面向互联网的 Gogs 服务器的恶意软件感染事件时发现了该漏洞。研究人员共发现超过 1400 台 Gogs 服务器暴露在外，其中超过 700 台服务器出现入侵迹象。

在对这些攻击进行调查的过程中，所有被发现的受感染实例都表现出相同的模式，包括在 7 月份同一时间段内创建的具有随机八字符名称的存储库，这表明该攻击活动是由使用自动化工具的单个行为者或团体所为。

“在我们的外部扫描中，我们发现了超过 1400 台 Gogs 服务器公开暴露在互联网上。其中许多实例默认启用了‘开放注册’功能，从而造成了巨大的攻击面，”他们说。

Wiz 还发现，部署的恶意软件是使用 Supershell 创建的，Supershell 是一个开源的命令与控制 (C2) 框架，它通过 Web 服务建立反向 SSH shell。进一步分析显示，该恶意软件与位于 119.45.176[.]196 的命令与控制服务器通信。

研究人员于7月17日向Gogs维护者报告了该漏洞，维护者于10月30日确认了该缺陷，当时他们仍在开发补丁。根据Wiz Research分享的披露时间线，11月1日观察到了第二波攻击。

建议 Gogs 用户立即禁用默认的开放注册设置，并使用 VPN 或白名单限制对服务器的访问。如需检查其实例是否已被入侵，请留意 PutContents API 的可疑使用情况以及名称为随机 8 个字符的存储库。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer《黑客利用未修复的 Gogs 零日漏洞入侵了 700 台服务器》