Trusted DesignCVE-2025-8110 の詳細
CVEの情報
説明:
Improper Symbolic link handling in the PutContents API in Gogs allows Local Execution of Code.
CVE更新日: 2025-12-10 14:16:19.847000
CVSSバージョン: 4.0
CVSSスコア: 8.7
KEVの情報
KEV更新日: 2026-01-12
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.007700000
EPSS更新日: 2026-01-15 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE‑2025‑8110は、Gogs(セルフホスト型 Git サービス)に存在するパストラバーサル脆弱性で、PutContents APIにおける不適切なシンボリックリンク処理が原因です。 この脆弱性は実際に悪用されており(actively exploited)、700以上のGogsインスタンスが侵害されたと報告されています。 1. 脆弱性の概要 【影響】 ・任意ファイルの上書きが可能となります。(リポジトリ外のファイルを含む) ・結果としてリモートコード実行(RCE)が可能となります。 ・攻撃者はシンボリックリンクを利用し、sshCommandなどのGit設定ファイルを上書きして任意コマンドを実行できてしまいます。 【深刻度】 ・CVSS 4.0:8.7 High 2. 対象となる環境 【影響を受ける製品】 ・Gogs(Self‑hosted Git service) 【影響を受けるバージョン】 ・具体的な影響バージョンは公開情報に明記されていません。 ・この脆弱性はCVE‑2024‑55947の修正を回避するゼロデイです。 【影響を受ける設定】 ・PutContents APIが利用可能な環境。 ・インターネットに公開されたGogsインスタンス 実際に、1,400以上が公開され、700以上が侵害を受けています。 3. 影響を受けた時の兆候 観測された侵害パターンがあります。 ・ランダムな8文字の名前のリポジトリが7月に作成されている。 ・多数のインスタンスで 同一の攻撃パターン が確認 ・Wiz Research が マルウェア感染の調査中に発見 4. 推奨対策 【本対策(恒久対策)】 ・Gogs開発者によるパッチ適用が推奨(CISAが推奨) 【暫定回避策(緩和策)】 CISA の推奨策 ・パッチや緩和策が利用できない場合は、影響製品の使用を中止 ・インターネット公開を避ける ・PutContents APIの利用制限 5. 追加で知っておくべき観点 【技術的性質】 ・CWE‑22(パストラバーサル) ・シンボリックリンクを利用したディレクトリ外ファイル上書き