- CISA menambahkan Gogs CVE-2025-8110 ke katalog Kerentanan yang Diketahui dan Dieksploitasi
- Bypass symlink kritis memungkinkan Eksekusi Kode Jarak Jauh yang tidak diautentikasi melalui PutContents API
- Lebih dari 700 server Gogs disusupi; agensi harus melakukan patch paling lambat tanggal 2 Februari 2026
Badan Keamanan Siber dan Infrastruktur AS (CISA) telah menambahkan bug baru ke dalam katalog Known Exploited Vulnerabilities (KEV), yang menandakan tidak hanya bahwa bug tersebut sedang dieksploitasi secara aktif di alam liar, namun juga memerintahkan badan-badan Federal Civilian Executive Branch (FCEB) untuk menambal bug tersebut, atau berhenti menggunakan perangkat lunak yang rentan tersebut sepenuhnya.
Perangkat lunak yang berisiko adalah Gogs, layanan Git yang dihosting sendiri yang memungkinkan organisasi menjalankan alternatif pribadi mereka selain Github, atau GitLab.
Gogs menyediakan antarmuka web untuk menghosting repositori Git, mengelola pengguna dan tim, menangani permintaan penarikan, tinjauan kode, masalah, dan dokumentasi proyek dasar, semuanya pada infrastruktur di bawah kendali pengguna. Itu ditulis dalam Go dan dirancang agar ringan dan cepat. Dalam praktiknya, Gogs sering digunakan untuk lingkungan pengembangan internal, jaringan celah udara, atau perusahaan yang menginginkan kontrol penuh atas akses kode sumber.
Data untuk dijual
Peneliti keamanan siber dari Wiz Research baru-baru ini menemukan kerentanan bypass symlink kritis yang memungkinkan pengguna yang tidak diautentikasi mencapai Remote Code Execution (RCE) dengan mengeksploitasi API PutContents. Dengan RCE, penjahat dapat mengambil alih server yang mendasarinya sepenuhnya, menyebarkannya perangkat lunak perusakmengeksfiltrasi data sensitif, dan banyak lagi.
Kerentanan tersebut kini dilacak sebagai CVE-2025-8110, dan diberi skor tingkat keparahan 8,7/10 (tinggi). Patch ini ditambahkan ke KEV pada 12 Januari 2026, sehingga memberi waktu kepada agensi FCEB hingga 2 Februari untuk menerapkan patch tersebut. Perbaikannya, yang dapat ditemukan di GiHubmenambahkan validasi jalur symlink-aware di semua titik masuk penulisan file, sehingga secara efektif mengurangi masalah tersebut.
Dalam laporannya, BleepingComputer dinyatakan pada tanggal 1 November 2025, telah terjadi dua gelombang serangan terpisah yang memanfaatkan kerentanan ini sebagai zero-day. Saat ini, ada lebih dari 1.400 server Gogs yang terekspos secara online, dan lebih dari 700 server sudah menunjukkan tanda-tanda kompromi.
Dengan kata lain, tampaknya para penjahat dunia maya sedang sibuk menangani kasus-kasus Gogs yang rentan, sementara organisasi-organisasi masih tertinggal dalam melakukan patching.
Melalui BleepingComputer
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
