CVE-2025-8110 é um crítico de 0 dias no Gogs (até a versão 0.13.3) que permite RCE via bypass de link simbólico na API PutContentsjá explorado em massa para comprometer mais de 700 instâncias públicas com o C2 Supershell, sem patch disponível até agora.
Como a exploração funciona
UM falha é uma regressão da correção do RCE CVE‑2024‑55947: o Gogs passou a validar o caminho do arquivo, mas não o destino de links simbólicos. Como o Git (e Gogs) permite cometer links simbólicos, o ameaçador:
- Cria um repositório, comita um link simbólico que aponta para um arquivo sensível fora do repo (por exemplo,
.git/config). - EUA uma API
PutContentspara gravar nesse “arquivo” dentro do repositório; o sistema segue o link e sobrescreve o alvo real fora do repo.
Ao sobreescrever .git/configem especial o parâmetro sshCommando invasor injeta comandos arbitrários que serão executados quando o Gogs realiza operações Git usando essa configuração, obtendo assim execução remota de código no host. O ataque exige apenas uma conta com permissão de criação de repositórios — algo comum, já que muitos servidores Gogs ficam com “Open Registration” habilitado por padrão.
Escala, payload e status do patch
Durante a análise de uma infecção em julho de 2025, o Wiz acordou o bug no servidor Gogs 0.13.2 considerado “seguro”, e depois localizou cerca de 1.400 instâncias expostas na internet via varreduras, com mais de 70 exibindo sinais claros de comprometimento. Todas as instâncias comprometidas exibiram repositórios com nomes aleatórios de 8 caracteres criados em uma janela estreita em 10 de julho, com destaque para um único ator ou grupo com automação de “smash‑and‑grab”.
O payload oferecido foi o Superconchaum framework C2 open‑source em Go que estabelece shell reverso via serviços web, com binários embalados em UPX e ofuscados com a ferramenta garble para esconder strings e dificultar a reversão da engenharia. Conexões saíram para IPs como 119.45.176(.)196, 106.53.108(.)81 e 119.91.42(.)53.
A Wiz relatou vulnerabilidade em 17 de julho de 2025; os mantenedores refletiram em outubro, mas, até o momento, não há correção no diretor da filial e a exploração segue ativa.
Mitigações imediatas recomendadas
Dado que o bug segue sem patch, as orientações atuais são:
- Assumir comprometimento para qualquer instância do Gogs exibida na internet com “Inscrição Aberta” habilitada.
- Desativar registro aberto (Registro Aberto) e restringe a criação de repositórios para usuários confiáveis.
- Isolar ou Gogs atrás de VPN, lista de permissões de IP ou proxy de autenticaçãoevitando exposição direta pública.
- IoCs de Caçar:
- Auditor
.git/confige arquivos de configuração do Git em servidores para identificarsshCommandou outras configurações adulteradas com comandos suspeitos.
Enquanto o patch oficial não chega, suportar o acesso ao serviço e monitorar indicadores de exploração são as únicas formas práticas de reduzir o risco e responder rapidamente a possíveis compromissos.
