CVE-2025-8110

Vulnérabilité Gogs : Exécution de code local via des liens symboliques

Une faille de sécurité critique, identifiée comme CVE-2025-8110, a été découverte dans Gogs, un service d’hébergement Git auto-hébergé. Cette vulnérabilité découle d’une mauvaise gestion des liens symboliques au sein de l’API “PutContents”.

Points Clés :

• Nature de la vulnérabilité : Mauvaise gestion des liens symboliques dans l’API “PutContents” de Gogs.
• Conséquence : Permet une exécution de code local.
• Contexte : Il s’agit d’un contournement d’une vulnérabilité antérieure d’exécution de code à distance (CVE-2024-55947).

Vulnérabilité :

• CVE : CVE-2025-8110
• Mécanisme d’exploitation : Un attaquant peut créer un lien symbolique dans un dépôt Git. Ce lien pointe vers une ressource sensible en dehors du dépôt. L’exploitation de l’API “PutContents” pour écrire des données dans ce lien symbolique permet de substituer des fichiers se trouvant hors du répertoire du dépôt.
• Impact spécifique : L’attaquant peut écraser le fichier “.git/config” et ainsi exécuter des commandes arbitraires sur le système.

Recommandations :

Bien que l’article ne détaille pas les recommandations spécifiques pour CVE-2025-8110, il est implicite que des mesures similaires à celles appliquées pour la vulnérabilité précédente (CVE-2024-55947) sont nécessaires. Les utilisateurs de Gogs devraient :

• Appliquer les correctifs de sécurité dès qu’ils sont disponibles pour Gogs.
• Revoir et sécuriser la configuration de leurs dépôts Gogs, en particulier en ce qui concerne la gestion des liens symboliques.
• Surveiller l’activité suspecte sur leurs serveurs Git.

Source