CVE-2025-8110

Exécution de code local dans Gogs via des liens symboliques

Une faille de sécurité découverte dans Gogs, un service d’hébergement Git auto-hébergé, permet l’exécution de code local. Cette vulnérabilité, référencée CVE-2025-8110, exploite une mauvaise gestion des liens symboliques au sein de l’API PutContents.

Les attaquants peuvent créer un lien symbolique dans un dépôt Git pointant vers un fichier sensible en dehors du dépôt. En utilisant l’API PutContents pour écrire des données dans ce lien symbolique, il devient possible d’écraser des fichiers. Cette capacité peut être utilisée pour modifier le fichier “.git/config” et ainsi exécuter des commandes arbitraires sur le système.

Cette faille représente un contournement d’une précédente vulnérabilité d’exécution de code à distance corrigée, CVE-2024-55947.

Points Clés :

• Logiciel affecté : Gogs (service d’hébergement Git auto-hébergé).
• Type de vulnérabilité : Exécution de code local.
• Mécanisme d’exploitation : Mauvaise gestion des liens symboliques dans l’API PutContents.
• Conséquence : Possibilité d’écraser des fichiers sensibles en dehors du dépôt Git, y compris le fichier de configuration “.git/config”, menant à l’exécution de commandes arbitraires.
• Relation : Contournement d’une précédente vulnérabilité (CVE-2024-55947).

Vulnérabilité :

• CVE : CVE-2025-8110

Recommandations :

• Mettre à jour Gogs vers une version corrigée afin de remédier à la mauvaise gestion des liens symboliques dans l’API PutContents.

Source