【已复现】Gogs 远程命令执行漏洞(CVE-2025-8110)
2025-12-11 18:13 北京
检测业务是否受到此漏洞影响,请联系长亭应急服务团队!
Gogs (Go Git Service) 是一款基于 Go 语言开发的开源 Git 托管平台,采用 MIT 许可证,提供代码托管、Issue 跟踪、权限管理和 Webhook 等功能。
2025年12月,长亭安全应急响应中心监测到Gogs存在远程命令执行零日漏洞(CVE-2025-8110)。经分析,拥有用户权限的攻击者可利用该漏洞执行任意系统命令,由于Gogs默认配置下启用了开放注册功能,导致利用难度较低,目前已发现在野利用,建议受影响的用户尽快修复。
漏洞描述
Description
01
漏洞成因
CVE-2025-8110 是对先前已修复的 RCE 漏洞 CVE-2024-55947 的符号链接绕过攻击。该漏洞允许经过身份验证的用户利用符号链接覆写仓库外的文件,实现命令注入,从而控制服务器。
漏洞影响
攻击者可在服务器上执行任意系统命令,可能导致服务器被完全控制、数据泄露或业务系统沦陷。
处置优先级:高
漏洞类型:命令注入
漏洞危害等级:高
触发方式:网络远程
权限认证要求:需要权限
系统配置要求:默认配置
用户交互要求:无需用户交互
利用成熟度:POC/EXP 已公开
修复复杂度:低,官方未提供修复方案
影响版本
Affects
02
Gogs <= 0.13.3
解决方案
Solution
03
临时缓解方案禁用用户注册功能,在 Gogs 的配置文件 app.ini 中关闭用户注册功能,防止攻击者通过注册恶意账户进行利用:
[auth]
DISABLE_REGISTRATION = true
生效方式:修改后需重启 Gogs 服务。
漏洞复现
Reproduction
04
产品支持
Support
05
雷池:已发布自定义规则支持检测。
全悉:已发布规则更新包,支持该漏洞利用行为的检测。
时间线
Timeline
06
2025年12月11日 长亭安全应急响应中心发布通告
禁用用户注册功能,在 Gogs 的配置文件 app.ini 中关闭用户注册功能,防止攻击者通过注册恶意账户进行利用:
[auth]DISABLE_REGISTRATION = true
生效方式:修改后需重启 Gogs 服务。
漏洞复现
Reproduction
04
产品支持
Support
05
雷池:已发布自定义规则支持检测。
全悉:已发布规则更新包,支持该漏洞利用行为的检测。
时间线
Timeline
06
2025年12月11日 长亭安全应急响应中心发布通告
长亭应急响应服务
目录
最新
- 【0day预警】ComfyUI-Manager CRLF注入导致远程代码执行漏洞
- 【已复现】n8n 前台远程代码执行漏洞(CVE-2026-21858)
- 【已复现】ComfyUI-Manager 远程代码执行漏洞(CVE-2025-67303)
- 【已复现】MongoDB 未授权内存泄露漏洞(CVE-2025-14847)
- 【已复现】FineReport 帆软报表前台远程代码执行漏洞
- 【已复现】Gogs 远程命令执行漏洞(CVE-2025-8110)
- 【在野利用】Dify Docker部署仍存在React2Shell风险
- 【已复现】React Server Components 远程代码执行漏洞(CVE-2025-55182)