- CISA, Gogs CVE-2025-8110’u Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekledi
- Kritik sembolik bağlantı atlama, PutContents API aracılığıyla kimliği doğrulanmamış Uzaktan Kod Yürütmeyi mümkün kılar
- 700’den fazla Gogs sunucusunun güvenliği ihlal edildi; ajansların 2 Şubat 2026’ya kadar yama yapması gerekiyor
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna yeni bir hata ekledi ve bu hatanın yalnızca aktif olarak istismar edildiğinin sinyalini vermekle kalmadı, aynı zamanda Federal Sivil Yürütme Şubesi (FCEB) kurumlarına bu açığı düzeltmeleri veya savunmasız yazılımı tamamen kullanmayı bırakmaları talimatını verdi.
Risk altındaki yazılım, kuruluşların Github veya GitLab’a kendi özel alternatiflerini çalıştırmasına olanak tanıyan, kendi kendine barındırılan bir Git hizmeti olan Gogs’tur.
Gogs, tamamı kullanıcının kontrolü altındaki altyapı üzerinde Git depolarını barındırmak, kullanıcıları ve ekipleri yönetmek, çekme isteklerini, kod incelemelerini, sorunları ve temel proje belgelerini yönetmek için bir web arayüzü sağlar. Go’da yazılmıştır ve hafif ve hızlı olacak şekilde tasarlanmıştır. Uygulamada Gogs genellikle dahili geliştirme ortamları, hava boşluklu ağlar veya kaynak kodu erişimi üzerinde tam kontrol isteyen şirketler için kullanılır.
Satılık veriler
Wiz Research’ün siber güvenlik araştırmacıları yakın zamanda, kimliği doğrulanmamış kullanıcıların PutContents API’sinden yararlanarak Uzaktan Kod Yürütme (RCE) gerçekleştirmesine olanak tanıyan kritik bir sembolik bağlantı atlama güvenlik açığı buldu. RCE ile dolandırıcılar, temeldeki sunucuyu tamamen ele geçirebilir ve kötü amaçlı yazılımhassas verileri sızdırma ve daha fazlası.
Güvenlik açığı artık CVE-2025-8110 olarak izleniyor ve 8,7/10 (yüksek) önem puanına sahip. 12 Ocak 2026’da KEV’e eklenerek FCEB kurumlarına yamayı uygulama konusunda 2 Şubat’a kadar süre tanındı. Şu adreste bulunabilecek düzeltme: GiHubtüm dosya yazma giriş noktalarına sembolik bağlantıya duyarlı yol doğrulaması ekleyerek sorunu etkili bir şekilde azaltır.
Raporunda, BleepingBilgisayar 1 Kasım 2025 itibarıyla bu güvenlik açığından sıfır gün olarak yararlanan iki ayrı saldırı dalgasının zaten mevcut olduğu belirtildi. Bugün çevrimiçi olarak kullanıma sunulan 1.400’den fazla Gogs sunucusu var ve 700’den fazla örnek halihazırda güvenlik ihlali belirtileri gösteriyor.
Başka bir deyişle, siber suçlular savunmasız Gogs örnekleriyle saha günü geçirirken kuruluşlar yama uygulama konusunda gecikiyor gibi görünüyor.
Aracılığıyla BleepingBilgisayar
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.