Gogs: rilevato sfruttamento in rete di una vulnerabilità zero-day (AL01/251211/CSIRT-ITA)

Data:
11 Dicembre 2025

Impatto Sistemico

Critico (76.28)

Sintesi

Rilevato lo sfruttamento attivo in rete della vulnerabilità con gravità “alta” CVE-2025-8110 relativa a Gogs, un popolare servizio Git self-hosted. La vulnerabilità potrebbe consentire ad un utente malintenzionato, autenticato con permessi minimi, di creare un symlink all’interno di un repository che punti a file critici del sistema e di caricare dati attraverso le API che sovrascrivono direttamente questi file. Tale circostanza permetterebbe di eseguire, da remoto, comandi arbitrari sul server.

Tipologia

Arbitrary File Write
Remote Code Execution

Prodotti e/o versioni affette

Gogs server versioni precedenti alla 0.13.3

Azioni di mitigazione

Si consiglia di aggiornare tempestivamente i prodotti alla versione più recente disponibile. Ove non fosse possibile, è possibile mitigare parte delle vulnerabilità adottando le configurazioni riportate nel documento indicato nei Riferimenti per ridurre la superficie di attacco del servizio.

Riferimenti

https://www.wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploit

CVE

CVE-ID
CVE-2025-8110

Change log

Versione	Note	Data
1.0	Pubblicato il 11-12-2025	11/12/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

11 Dicembre 2025, 09:36

CSIRT Toscana

CSIRT Toscana