はじめに

サイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA）は、セルフホスト型GitサービスであるGogsの極めて重大な脆弱性を、既知の悪用されている脆弱性（KEV）カタログに追加し、この欠陥が現在活発に悪用されていると警告しています。

脆弱性の詳細

「CVE-2025-8110」として追跡されているこの脆弱性は、Gogsの「PutContents API」における不適切なシンボリックリンク処理に起因するパス・トラバーサルの欠陥です。この脆弱性により、攻撃者は脆弱なシステム上で任意のコードを実行できる可能性があり、Gogsプラットフォームを使用している組織に重大なセキュリティリスクをもたらします。この脆弱性は、一般的に「パス・トラバーサル」として知られるCWE-22（「制限されたディレクトリへのパス名の不適切な制限」）に分類されます。

CISAによる警告と対策の期限

CISAが2026年1月12日付でCVE-2025-8110をKEVカタログに含めたことは、攻撃者がすでに実世界の攻撃でこの脆弱性を悪用していることを示しています。この欠陥がランサムウェアキャンペーンに組み込まれているかどうかは不明ですが、コード実行の可能性から最優先のセキュリティ懸念となっています。CISAの拘束力のある運用指令22-01によると、連邦機関および組織は2026年2月2日までにこの脆弱性に対処しなければなりません。CISAは、Gogs開発者が提供するセキュリティパッチと緩和策を適用することで、組織に直ちに行動を起こすよう促しています。クラウドサービス展開の場合、管理者はBOD 22-01のガイダンスに従うべきです。パッチや緩和策が利用できない場合は、修正がリリースされるまで影響を受ける製品の使用を中止するよう勧告されています。

推奨される追加対策

システム管理者は、Gogsのインストールに対するパッチ適用を優先し、不審なAPI活動を監視し、エクスプロイトによる潜在的な影響を制限するためにネットワークセグメンテーションを実装すべきです。組織はまた、不正アクセスやコード実行の試みの兆候がないか、アクセス制御と監査ログを確認する必要があります。積極的な悪用が確認されている状況を鑑み、セキュリティチームは本脆弱性を喫緊の課題として扱い、インフラストラクチャを保護するための修復作業を加速しなければなりません。

元記事: https://gbhackers.com/cisa-alerts-gogs-path-traversal-flaw/