← volver
CVE-2025-8110

File overwrite in file update API in Gogs

CVSS 8.7 HIGHEPSS 76.5%● KEVCWE-22
En resumen

Un defecto en la API de actualización de archivos de Gogs no maneja adecuadamente los enlaces simbólicos, permitiendo que un atacante sobrescriba archivos arbitrarios del sistema. Esto puede resultar en la ejecución de código malicioso al reemplazar archivos críticos.

Detalle técnico

Vulnerabilidad de path traversal (CWE-22) en la API PutContents que permite manipulación impropia de enlaces simbólicos sin validación adecuada. Un atacante local o autenticado puede explotar esto para sobrescribir archivos sensibles y lograr ejecución arbitraria de código.

Resumen generado y traducido por IA a partir de la descripción oficial.
Improper Symbolic link handling in the PutContents API in Gogs allows Local Execution of Code.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:A/AU:Y/R:U/V:C
Productos afectados
Gogs · Gogs
PoCs públicas encontradas15
githubgithub.com/zAbuQasem/gogs-CVE-2025-811027githubgithub.com/rxerium/CVE-2025-811022githubgithub.com/kayl22/cve-2025-8110-GOGS-RCE4githubgithub.com/Ghxstsec/CVE-2025-81102githubgithub.com/3jee/CVE-2025-81102githubgithub.com/0dgt/CVE-2025-81101githubgithub.com/George0Papasotiriou/CVE-2025-8110-Gogs-Remote-Code-Execution1githubgithub.com/get-xor/coreweave-demo-2026-050githubgithub.com/mananispiwpiw/CVE-2025-8110-PoC0githubgithub.com/tovd-go/CVE-2025-81100githubgithub.com/111ddea/goga-cve-2025-81100githubgithub.com/popyue/CVE-2025-81100githubgithub.com/X4BROZER/CVE-2025-81100githubgithub.com/hassan-hamadi/CVE-2025-8110-Silentium-HTB0githubgithub.com/AdityaInnovates/CVE-2025-8110-Gogs-RCE-Exploit0
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/gogs/gogs/commit/553707f3fd5f68f47f531cfcff56aa3ec294c6f6https://github.com/gogs/gogs/pull/8078https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-8110http://wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploithttp://www.openwall.com/lists/oss-security/2025/12/11/3http://www.openwall.com/lists/oss-security/2025/12/11/4http://www.openwall.com/lists/oss-security/2026/01/17/4http://www.openwall.com/lists/oss-security/2026/01/18/1http://www.openwall.com/lists/oss-security/2026/01/18/2