Por Mid 
Zero-Day Gogs CVE-2025-8110: Más de 700 servidores del popular servicio de alojamiento Git autoalojado Gogs han sido comprometidos mediante una vulnerabilidad zero-day crítica sin parche identificada como CVE-2025-8110. Esta falla de seguridad, con puntuación CVSS de 8.7, permite a atacantes autenticados ejecutar código remoto (RCE) mediante la manipulación de enlaces simbólicos, sobrescribiendo archivos sensibles del sistema. La explotación activa comenzó en julio de 2025 y continúa hasta la fecha, afectando aproximadamente el 50% de las 1,400 instancias Gogs expuestas en internet.
¿Qué es la Vulnerabilidad Zero-Day Gogs CVE-2025-8110?
La vulnerabilidad zero-day Gogs CVE-2025-8110 es un bypass crítico del parche anterior CVE-2024-55947, que fue lanzado en diciembre de 2024. Investigadores de seguridad de Wiz Research descubrieron que el parche podía ser circunvalado explotando el manejo inadecuado de enlaces simbólicos (symlinks) en la API PutContents de Gogs.
Gogs es un servicio de alojamiento Git ligero y autoalojado escrito en Go, utilizado por miles de organizaciones para gestionar repositorios de código fuente de forma privada. A diferencia de servicios cloud como GitHub o GitLab, Gogs se ejecuta en infraestructura propia, lo que aumenta la responsabilidad del administrador en materia de seguridad.
Detalles Técnicos del Zero-Day Gogs CVE-2025-8110
El zero-day Gogs CVE-2025-8110 explota dos características fundamentales de Git y la implementación de Gogs:
- Git permite enlaces simbólicos que pueden apuntar a rutas fuera del repositorio
- La API PutContents de Gogs no valida si el destino de escritura es un symlink que apunta fuera del repositorio
Cadena de Ataque
Los atacantes siguen estos pasos para comprometer un servidor Gogs vulnerable:
- Crear repositorio Git: El atacante crea un repositorio estándar en el servidor Gogs objetivo
- Commit de symlink malicioso: Se confirma un enlace simbólico apuntando a un archivo sensible del sistema (como
.git/config) - Uso de API PutContents: El atacante llama a la API
PutContentspara escribir datos al symlink - Sobrescritura de archivos: El sistema sigue el enlace y sobrescribe el archivo objetivo fuera del repositorio
- Ejecución de código arbitrario: Al sobrescribir
.git/config(específicamente el parámetrosshCommand), se logra RCE completo
Según el análisis de Wiz Research: «La API escribe al archivo sin verificar si el destino es realmente un symlink apuntando fuera del repositorio». Esta falla permitió que el CVE-2025-8110 circunvalara completamente el parche implementado para CVE-2024-55947.
Puntuación CVSS y Severidad
- CVSS Score: 8.7 (Alto)
- Tipo de vulnerabilidad: Escritura de archivos arbitrarios / RCE
- Vector de ataque: Red (requiere autenticación)
- Impacto: Ejecución remota de código con privilegios del proceso Gogs
Campaña de Explotación del Zero-Day Gogs CVE-2025-8110: Más de 700 Servidores Comprometidos
Los investigadores de seguridad han confirmado que más de 700 instancias Gogs mostraron signos claros de compromiso durante su investigación. De las aproximadamente 1,400 instancias Gogs expuestas públicamente en internet, más del 50% han sido víctimas de esta campaña de explotación masiva.
Timeline de la Explotación
- 10 de julio de 2025: Primera evidencia de explotación observada en servidores comprometidos
- 15 de julio de 2025: Descubrimiento de malware Supershell en máquinas vulnerables
- 17 de julio de 2025: Divulgación responsable a los mantenedores de Gogs
- 30 de octubre de 2025: Reconocimiento oficial de la vulnerabilidad por parte de Gogs
- 1 de noviembre de 2025: Segunda ola de ataques detectada
- 10 de diciembre de 2025: Aún no hay parche disponible, explotación continúa activa
Esta vulnerabilidad de ejecución remota de código ha permanecido sin parche durante más de 5 meses desde su descubrimiento inicial, convirtiendo al zero-day Gogs CVE-2025-8110 en una de las amenazas más persistentes de 2025.
Indicadores de Compromiso (IOCs) del Zero-Day Gogs
Los administradores de sistemas pueden identificar si sus servidores Gogs han sido comprometidos mediante los siguientes indicadores de compromiso:
Artefactos en el Sistema
- Repositorios con nombres aleatorios de 8 caracteres: Ejemplos como «IV79VAew/Km4zoh4s» son un claro indicador
- Fecha de creación sospechosa: Repositorios creados alrededor del 10 de julio de 2025
- Uso anómalo de API PutContents: Registros de logs mostrando llamadas repetidas a esta API
Infraestructura del Atacante
Los servidores comprometidos se comunicaban con la siguiente infraestructura de comando y control (C2):
- Servidor C2 principal: 119.45.176[.]196
- Servidores de payload: 106.53.108[.]81 y 119.91.42[.]53
- Malware desplegado: Supershell, un framework C2 de código abierto frecuentemente utilizado en campañas vinculadas a actores chinos
Según The Hacker News, los investigadores describieron esta campaña como una operación «smash-and-grab» debido a que los atacantes dejaron repositorios visibles sin limpiar rastros, sugiriendo «un único actor o grupo utilizando herramientas idénticas».
Mitigaciones y Recomendaciones para Protegerse del Zero-Day Gogs CVE-2025-8110
Mientras no exista un parche oficial para el zero-day Gogs CVE-2025-8110, los administradores deben implementar las siguientes medidas de mitigación inmediatas:
1. Deshabilitar Registro Abierto
La configuración por defecto de Gogs permite el registro abierto de usuarios, expandiendo significativamente la superficie de ataque. Para deshabilitar esta función:
[service]
DISABLE_REGISTRATION = trueEdita el archivo app.ini de tu instalación Gogs y reinicia el servicio.
2. Limitar Exposición a Internet
- Coloca tu instancia Gogs detrás de una VPN o implementa un allowlist de direcciones IP
- Utiliza un reverse proxy con autenticación adicional (como OAuth2)
- Restringe el acceso a la API mediante tokens de aplicación con permisos limitados
3. Escanear Servidores Comprometidos
Ejecuta los siguientes comandos para identificar indicadores de compromiso:
# Buscar repositorios con nombres aleatorios de 8 caracteres
find /path/to/gogs/data/repositories -maxdepth 2 -type d | grep -E '/[a-zA-Z0-9]{8}/[a-zA-Z0-9]{8}$'
# Revisar logs de acceso a la API
grep "PutContents" /path/to/gogs/log/gogs.log
# Verificar conexiones a IPs sospechosas
netstat -an | grep -E "119.45.176.196|106.53.108.81|119.91.42.53"4. Considerar Alternativas Temporales
Mientras se espera un parche oficial, considera migrar temporalmente a alternativas como:
- Gitea: Fork de Gogs con desarrollo más activo
- GitLab CE: Solución completa de DevOps autoalojada
- Gitolite: Servidor Git minimalista y seguro
Versiones Afectadas del Zero-Day Gogs CVE-2025-8110
Todas las versiones de Gogs 0.13.3 y anteriores son vulnerables al zero-day CVE-2025-8110. Esto incluye:
- Gogs 0.13.x (todas las versiones)
- Gogs 0.12.x (todas las versiones)
- Versiones anteriores a 0.12.x
Es importante destacar que incluso las instancias que aplicaron el parche para CVE-2024-55947 permanecen vulnerables, ya que el CVE-2025-8110 es un bypass completo de dicho parche. Este caso ejemplifica los desafíos de las vulnerabilidades zero-day en software de código abierto.
Impacto Global del Zero-Day Gogs CVE-2025-8110
El impacto del zero-day Gogs CVE-2025-8110 trasciende el número de servidores comprometidos:
- 700+ servidores comprometidos confirmados
- 1,400+ instancias Gogs expuestas en internet
- Aproximadamente 50% de tasa de compromiso
- Exposición de repositorios de código fuente privados
- Posible robo de credenciales y secretos almacenados en repositorios
- Acceso persistente mediante backdoors Supershell
Organizaciones que utilizan Gogs para gestionar código propietario, credenciales de infraestructura o secretos de aplicaciones enfrentan un riesgo significativo de brechas de datos masivas si sus instancias están expuestas públicamente.
Comparación con CVE-2024-55947: ¿Por Qué el Parche Falló?
El CVE-2024-55947 fue la vulnerabilidad original de escritura de archivos arbitrarios en Gogs, parcheada en diciembre de 2024. Sin embargo, el parche implementado no consideró el caso de enlaces simbólicos dentro de repositorios Git.
La tabla comparativa muestra las diferencias clave:
| Aspecto | CVE-2024-55947 | CVE-2025-8110 |
|---|---|---|
| Fecha de parche | Diciembre 2024 | Sin parche (Dic 2025) |
| Mecanismo | Escritura directa de archivos | Bypass vía symlinks |
| CVSS | 8.7 | 8.7 |
| Explotación activa | No confirmada | Sí (700+ servidores) |
| Validación de rutas | Implementada | Circunvalada por symlinks |
Este caso ilustra la importancia de considerar vectores de ataque alternativos al implementar parches de seguridad, especialmente en sistemas que interactúan con Git y su soporte nativo de enlaces simbólicos.
FAQ: Preguntas Frecuentes sobre Zero-Day Gogs CVE-2025-8110
¿Qué es el CVE-2025-8110?
El CVE-2025-8110 es una vulnerabilidad zero-day crítica en Gogs que permite a usuarios autenticados ejecutar código remoto mediante la manipulación de enlaces simbólicos en repositorios Git. Tiene puntuación CVSS de 8.7 y afecta a todas las versiones de Gogs 0.13.3 y anteriores.
¿Cuántos servidores Gogs han sido comprometidos?
Más de 700 servidores Gogs han sido confirmados como comprometidos, de aproximadamente 1,400 instancias expuestas públicamente en internet, representando una tasa de compromiso superior al 50%.
¿Existe un parche para el zero-day Gogs CVE-2025-8110?
No, a fecha de diciembre de 2025 no existe un parche oficial para esta vulnerabilidad. Los mantenedores de Gogs reconocieron la vulnerabilidad el 30 de octubre de 2025, pero aún no han publicado una actualización de seguridad.
¿Cómo puedo saber si mi servidor Gogs está comprometido?
Busca repositorios con nombres aleatorios de 8 caracteres creados alrededor del 10 de julio de 2025, revisa logs de acceso a la API PutContents, y verifica conexiones a las IPs 119.45.176[.]196, 106.53.108[.]81 o 119.91.42[.]53.
¿Qué malware están usando los atacantes del zero-day Gogs?
Los atacantes están desplegando Supershell, un framework de comando y control (C2) de código abierto frecuentemente asociado con actores de amenazas chinos. Este malware proporciona acceso remoto persistente a los servidores comprometidos.
¿Debo migrar de Gogs a otra solución?
Considera migrar temporalmente a alternativas como Gitea (fork de Gogs con desarrollo más activo) o GitLab CE mientras se espera un parche oficial. Si decides mantener Gogs, implementa todas las mitigaciones recomendadas inmediatamente.
Conclusión: Urgencia de Acción contra el Zero-Day Gogs CVE-2025-8110
El zero-day Gogs CVE-2025-8110 representa una amenaza crítica y activa para más de 1,400 instancias expuestas en internet, con más de 700 servidores ya comprometidos. La ausencia de un parche oficial después de 5 meses desde su descubrimiento, combinada con la explotación masiva mediante el framework Supershell, convierte esta vulnerabilidad en una de las más peligrosas de 2025.
Los administradores de sistemas que gestionan instancias Gogs deben actuar inmediatamente: deshabilitar el registro abierto, limitar la exposición a internet, escanear indicadores de compromiso y considerar alternativas temporales. La historia del CVE-2025-8110 como bypass del parche CVE-2024-55947 subraya la complejidad de las vulnerabilidades en sistemas que interactúan con características avanzadas de Git como los enlaces simbólicos.
¿Tu organización utiliza Gogs? No esperes a ser parte de las estadísticas de compromiso. Implementa las mitigaciones recomendadas hoy mismo y mantente atento a actualizaciones oficiales del proyecto Gogs.