미국 정부는 심각도가 높은 Gogs 보안 문제를 해결하지 않으면 공격을 당할 것이라는 지시를 받았습니다.
- CISA는 알려진 악용 취약점 목록에 Gogs CVE-2025-8110을 추가했습니다.
- 중요한 기호 링크 우회를 통해 PutContents API를 통해 인증되지 않은 원격 코드 실행이 허용됩니다.
- 700개 이상의 Gogs 서버가 참여하고 있습니다. 대행사는 2026년 2월 2일까지 신청해야 합니다.
미국 사이버보안 및 인프라 보안국(CISA)이 KEV(알려진 악용 취약점) 카탈로그에 새로운 버그를 추가했습니다. 이는 해당 버그가 실제로 활발히 악용되고 있을 뿐만 아니라 FCEB(연방민간행정부) 기관에 이를 패치하거나 취약한 소프트웨어 사용을 완전히 중단하도록 지시하는 것입니다.
위험에 처한 소프트웨어는 조직이 Github 또는 GitLab에 대한 자체 비공개 대안을 실행할 수 있도록 하는 자체 호스팅 Git 서비스인 Gogs입니다.
Gogs는 사용자가 제어하는 인프라에서 Git 리포지토리 호스팅, 사용자 및 팀 관리, 풀 요청 관리, 코드 검토, 문제 및 기본 프로젝트 문서를 위한 웹 인터페이스를 모두 제공합니다. Go로 작성되었으며 가볍고 빠르도록 설계되었습니다. 실제로 Gogs는 내부 개발 환경, Air-Gapped 네트워크 또는 소스 코드 액세스를 완전히 제어하려는 회사에서 자주 사용됩니다.
판매용 데이터
Wiz Research의 사이버 보안 연구원들은 최근 인증되지 않은 사용자가 PutContents API를 활용하여 원격 코드 실행(RCE)을 달성할 수 있도록 허용하는 중요한 기호 링크 우회 취약점을 발견했습니다. RCE를 사용하면 사기꾼은 기본 서버를 완전히 장악하여 맬웨어를 배포하고 민감한 데이터를 유출하는 등의 작업을 수행할 수 있습니다.
현재 이 취약점은 CVE-2025-8110으로 추적되며 심각도 점수는 8.7/10(높음)입니다. 2026년 1월 12일에 KEV에 추가되었으며, FCEB 기관은 2월 2일까지 패치를 적용할 수 있습니다. 수정 사항은 다음에서 찾을 수 있습니다. GiHub모든 파일 쓰기 진입점에 심볼릭 링크 인식 경로 유효성 검사를 추가하여 문제를 효과적으로 완화합니다.
그의 보고서에서는 Bleeping컴퓨터 2025년 11월 1일까지 이미 이 취약점을 제로데이로 악용하는 두 차례의 공격이 있었습니다. 현재 온라인에는 1,400개 이상의 Gogs 서버가 노출되어 있으며, 700개 이상의 인스턴스가 이미 손상 징후를 보이고 있습니다.
즉, 사이버 범죄자들은 취약한 Gogs 인스턴스로 현장 하루를 보내고 있는 반면 조직은 뒤쳐져 있는 것처럼 보입니다.
도로 Bleeping컴퓨터
모든 주머니에 맞는 최고의 바이러스 백신
Google 뉴스에서 TechRadar 팔로우 나 우리를 즐겨찾는 소스로 추가하세요 귀하의 피드에서 전문가로부터 뉴스, 리뷰 및 의견을 받으십시오. 팔로우 버튼을 꼭 눌러주세요!
물론 당신도 할 수 있다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 비디오 언박싱을 받고 정기적인 업데이트를 받기 위해 왓츠앱 ~도