← Volver a artículos
Seguridad· 3 min de lectura

CVE-2025-8110: la vulnerabilidad de Gogs que CISA confirma explotada para ejecutar código

Qué es la vulnerabilidad

CVE-2025-8110 es un fallo de path traversal (CWE-22, “limitación incorrecta de una ruta a un directorio restringido”) en Gogs, ese servidor de repositorios Git autoalojado escrito en Go que tantos administradores ejecutan sobre Linux precisamente por lo ligero que es. El problema está en el editor de archivos del repositorio, en concreto en la API PutContents, que maneja mal los enlaces simbólicos (symlinks).

La técnica de explotación tiene su elegancia, y ahí está el peligro. Un atacante crea un repositorio Git, hace commit de un enlace simbólico que apunta a un archivo sensible del sistema y luego usa la API PutContents para escribir datos a través de ese symlink. Con eso consigue escribir en rutas fuera del directorio del repositorio y, al final, ejecutar código en el servidor. Lo más llamativo es que este fallo se salta las protecciones que se habían añadido para corregir una vulnerabilidad anterior, CVE-2024-55947.

A quién afecta

El problema está en Gogs 0.13.3 y versiones anteriores, tanto en Linux como en Windows. Cualquier organización o particular con una instancia de Gogs autoalojada (algo muy habitual en equipos que quieren una alternativa ligera a GitLab) está potencialmente expuesto.

Para explotarlo hace falta autenticación con privilegios bajos (vector CVSS AV:N/AC:L/PR:L/UI:N): basta con que el atacante tenga una cuenta de usuario que pueda crear repositorios y editar archivos. En instancias con registro abierto o con muchos usuarios internos, la barrera es prácticamente nula.

Gravedad

La vulnerabilidad es de severidad alta:

  • CVSS 3.1: 8.8 (NIST/NVD).
  • CVSS 4.0: 8.7 (asignado por Wiz, la firma que la descubrió).
  • Impacto alto en confidencialidad, integridad y disponibilidad.

El hallazgo cobró especial relevancia porque la firma de seguridad Wiz detectó que ya se estaba explotando en ataques de día cero (zero-day). Por eso CISA (la agencia de ciberseguridad estadounidense) la metió en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 12 de enero de 2026, con un plazo de remediación para las agencias federales hasta el 2 de febrero de 2026.

Mitigación y parche

Cuando salió el aviso de CISA todavía no había una versión estable parcheada publicada, aunque los responsables del proyecto ya tenían listos los cambios de código necesarios en GitHub. La corrección llegó en el commit 553707f, que añade validación para rechazar cualquier actualización de archivo cuya jerarquía de rutas contenga enlaces simbólicos.

Recomendaciones para administradores:

  1. Actualiza a la imagen corregida en cuanto esté disponible: según los mantenedores, una vez construida la imagen en main, tanto gogs/gogs:latest como gogs/gogs:next-latest incluirán el parche.
  2. Restringe el registro de usuarios y revisa quién puede crear repositorios mientras no apliques el parche.
  3. Aísla el servicio detrás de una VPN o red interna y no expongas Gogs directamente a Internet.
  4. Revisa los registros en busca de creación de symlinks sospechosos o escrituras raras vía la API.

Con prueba de concepto pública y explotación confirmada, conviene tratar la actualización como prioritaria.

Fuente