Trusted DesignCVE-2025-8110 の詳細
CVEの情報
説明:
Improper Symbolic link handling in the PutContents API in Gogs allows Local Execution of Code.
CVE更新日: 2025-12-10 14:16:19.847000
CVSSバージョン: 4.0
CVSSスコア: 8.7
KEVの情報
KEV更新日: 2026-01-12
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.199320000
EPSS更新日: 2026-04-16 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: low
Automatable: False
CVE‑2025‑8110は、Gogs(セルフホスト型 Git サービス)に存在するパストラバーサル脆弱性で、PutContents APIにおける不適切なシンボリックリンク処理が原因です。 この脆弱性は実際に悪用されており(actively exploited)、700以上のGogsインスタンスが侵害されたと報告されています。
【深刻度】 ・CVSS 4.0:8.7 High
【影響を受けるバージョン】 ・具体的な影響バージョンは公開情報に明記されていません。 ・この脆弱性はCVE‑2024‑55947の修正を回避するゼロデイです。
【影響を受ける設定】 ・PutContents APIが利用可能な環境。 ・インターネットに公開されたGogsインスタンス 実際に、1,400以上が公開され、700以上が侵害を受けています。
影響を受けた時の兆候 観測された侵害パターンがあります。 ・ランダムな8文字の名前のリポジトリが7月に作成されている。 ・多数のインスタンスで 同一の攻撃パターン が確認 ・Wiz Research が マルウェア感染の調査中に発見
推奨対策 【本対策(恒久対策)】 ・Gogs開発者によるパッチ適用が推奨(CISAが推奨)
【暫定回避策(緩和策)】 CISA の推奨策 ・パッチや緩和策が利用できない場合は、影響製品の使用を中止 ・インターネット公開を避ける ・PutContents APIの利用制限