CISA KEV 警告 26/01/12:Gogs のパス・トラバーサル脆弱性 CVE-2025-8110 を登録

U.S. CISA adds a flaw in Gogs to its Known Exploited Vulnerabilities catalog

2026/01/12 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Gogs のパス・トラバーサルの脆弱性 CVE-2025-8110 (CVSS:8.7) を Known Exploited Vulnerabilities (KEV) カタログに登録した。Gogs (Go Git Service) は、Go で記述された軽量なオープンソースのセルフホスト型 Git サービスである。この脆弱性は、Gogs の PutContents API における不適切なシンボリックリンク処理に起因し、ローカルでのコード実行を引き起こすものである。

不適切なシンボリックリンクとは、安全でない方法で作成/処理されたシンボリックリンクのことであり、意図/許可されたスコープ外のファイルやディレクトリの参照が可能になってしまう。

2025年7月に Wiz Research が実施したマルウェア・インシデントの調査中に、この脆弱性は発見され、その1週間後に修正が実施された。

Wiz Research は、「以前にパッチが適用された脆弱性 CVE-2024-55947 と、今回のシンボリックリンク・バイパスの脆弱性 CVE-2025-8110 が連鎖すると、認証済みユーザーがリポジトリ外のファイルを上書きし、リモート・コード実行 (RCE) を引き起こす可能性がある。インターネット上に公開されている、700 件以上の侵害されたインスタンスを特定した」と述べている。

この脆弱性 CVE-2025-8110 によるバイパスが、CVE-2024-55947 によるリモートコード実行を助長する。なお、以前の脆弱性は ManassehZhou により発見されたものである。

Gogs の PutContents API には、以前から脆弱性 CVE-2024-55947 が存在しており、リポジトリ外へファイルを書き込みとコマンド実行を、攻撃者に許す可能性があった。Gogs の開発者はパス検証による修正を行ったが、シンボリックリンクに対する検証は実装されていなかった。

新たなバイパスを生み出す脆弱性 CVE-2025-8110 は、Git のシンボリックリンク機能の悪用を引き起こす。攻撃者は、リポジトリ内にリポジトリ外のファイルを指すシンボリックリンクを作成し、API を用いてリンク経由で書き込みを行う。それにより、システムがリンクを追跡し、”.git/config” などのファイルを上書きすると、攻撃者によるコマンド実行の恐れが生じる。このような形で、Gogs におけるシンボリックリンク処理の問題は繰り返し発生している。

顧客のクラウド・ワークロードへのマルウェア感染を追跡している最中に、公開されている Gogs サービスが判明したと、研究者たちは説明している。感染直前に作成されたランダムな8文字の名前を持つ不審なリポジトリは、自動化された攻撃を示唆していた。

さらに調査を拡大した結果、約 1,400 件の公開 Gogs インスタンスが確認され、そのうちの 700 件以上での侵害が判明した。すべてにおいて、同一のパターンを示しており、単一の攻撃者またはグループが、同一の自動化ツールを使用している可能性が高いとされる。

Gogs CISA

拘束力のある運用指令 BOD 22-01 に基づき、カタログに掲載された欠陥を悪用する攻撃からネットワークを保護するため、FCEB 機関は期限までに該当する脆弱性へ対処する必要がある。CISA は連邦政府機関に対し、2026年2月2日までに、この脆弱性を修正するよう命じている。

専門家たちは民間組織に対しても、KEV カタログを確認し、インフラの脆弱性に対処することを推奨している。

Go で書かれた軽量な Git サービスである Gogs において、以前に修正されたはずの脆弱性が、新たなシンボリックリンクにより復活してしまいました。その悪用の実態が、米連邦政府機関でも確認され、CISA KEV への登録が行われました。この問題の原因は、 Gogs の API におけるシンボリックリンク処理の不備にあります。具体的には、リポジトリ内のファイルパスを検証する際に、特定の場所を指し示すシンボリックリンクを適切にチェックできていませんでした。この脆弱性を悪用する攻撃者は、リポジトリの外側にある重要な設定ファイル “.git/config” などを、シンボリックリンク経由で上書きすることが可能となり、最終的にサーバ上での任意コード実行に結びついてしまいました。よろしければ、2025/12/11 の「Gogs のゼロデイ脆弱性 CVE-2025-8110 の悪用を確認:700 以上のインスタンスに影響」も、ご参照ください。