La Agencia de Seguridad de Infraestructuras y Ciberseguridad de Estados Unidos (CISA) ha añadido una nueva vulnerabilidad de ejecución remota de código que afecta al servicio Gogs de Git autoalojado a su Catálogo de Vulnerabilidades Conocidas y Explotadas.
Si bien la vulnerabilidad – CVE-2025-8110 – se añadió recientemente, la explotación activa de este fallo ha estado en curso desde al menos julio de 2025, según la firma de seguridad en la nube Wiz.
You’re out of free articles for this month
Los investigadores de Wiz descubrieron inicialmente la actividad maliciosa al investigar una única máquina infectada con malware, pero rápidamente encontraron evidencia de una explotación generalizada de CVE-2025-8110, que a su vez es una elusión de una vulnerabilidad RCE previa de Gogs, CVE-2024-55947.
“Durante nuestro análisis de los intentos de explotación, identificamos que el actor de amenazas estaba aprovechando un fallo previamente desconocido para comprometer instancias”, declaró Wiz en una publicación de blog del 10 de diciembre en la que se detallan sus hallazgos.
“Informamos responsablemente de esta vulnerabilidad a los mantenedores. Actualmente están trabajando en una solución, pero la explotación activa continúa en la naturaleza.”
El problema radica en que la solución anterior no tuvo en cuenta el uso de enlaces simbólicos por parte de Gogs, que pueden ser explotados para sobrescribir archivos de destino fuera de cualquier repositorio determinado, lo que a su vez permite a un atacante forzar al sistema a ejecutar comandos arbitrarios.
Según Wiz, a la fecha de publicación de este artículo, había aproximadamente 1.400 instancias de Gogs accesibles desde Internet (incluidas varias en Australia), y más de la mitad de ellas ya habían sido comprometidas por malware basado en Supershell.
“Todas las instancias infectadas compartían el mismo patrón: nombres de propietario/repositorio aleatorios de ocho caracteres creados dentro de la misma ventana de tiempo corta (10 de julio)”, señaló Wiz.
“Esto sugiere que un único actor, o quizás un grupo de actores que utilizan las mismas herramientas, son responsables de todas las infecciones.”
Al momento de escribir esto, el problema sigue sin ser parcheado.
