CVE-2025-8110
Mis à jour :
Exécution de code via Gogs grâce à une faille de lien symbolique
Une vulnérabilité critique (CVE-2025-8110) a été découverte dans Gogs, un service Git auto-hébergé. Cette faille découle d’une mauvaise gestion des liens symboliques au sein de l’API PutContents. Elle permet à un attaquant de contourner une correction antérieure pour l’exécution de code à distance (CVE-2024-55947).
Points clés :
- Nature de la vulnérabilité : Mauvaise gestion des liens symboliques dans l’API PutContents de Gogs.
- Impact : Permet l’exécution de code arbitraire sur le système local.
- Mécanisme d’exploitation : Un attaquant crée un lien symbolique dans un dépôt Git pointant vers une ressource sensible hors du dépôt. L’utilisation de l’API PutContents pour écrire dans ce lien symbolique permet d’écraser des fichiers externes, notamment le fichier de configuration “.git/config” pour l’exécution de commandes.
- Relation avec une faille précédente : Il s’agit d’un contournement de la vulnérabilité CVE-2024-55947.
Vulnérabilité :
- CVE : CVE-2025-8110
- Produit affecté : Gogs (service Git auto-hébergé)
- Type : Mauvaise gestion des liens symboliques entraînant une exécution de code locale.
Recommandations :
Les informations fournies dans l’article ne détaillent pas les recommandations spécifiques de correction. Il est généralement conseillé aux utilisateurs de Gogs de rester vigilants et de mettre à jour leur système dès que des correctifs officiels sont disponibles pour cette vulnérabilité.