Badan Keamanan Siber dan Infrastruktur Amerika Serikat, Cybersecurity and Infrastructure Security Agency (CISA), mengeluarkan perintah resmi kepada lembaga pemerintah federal untuk segera mengamankan sistem mereka dari kerentanan tingkat tinggi pada Gogs. Celah keamanan ini diketahui telah dieksploitasi secara aktif dalam serangan zero-day.
Gogs merupakan platform self-hosted berbasis Git yang dikembangkan menggunakan bahasa Go dan sering digunakan sebagai alternatif GitLab atau GitHub Enterprise. Karena kerap dipublikasikan ke internet untuk kolaborasi jarak jauh, Gogs menjadi target menarik bagi pelaku ancaman siber.
Kerentanan tersebut dilacak sebagai CVE-2025-8110 dan dikategorikan sebagai celah remote code execution (RCE). Masalah ini bersumber dari kelemahan path traversal pada API PutContents, yang memungkinkan penyerang terautentikasi melewati perlindungan keamanan yang sebelumnya diterapkan untuk menambal celah RCE lain. Dengan memanfaatkan symbolic link, pelaku dapat menimpa berkas di luar repositori yang sah.
Dalam skenario serangan, pelaku membuat repositori berisi symbolic link yang mengarah ke berkas sistem sensitif, lalu menulis data melalui API PutContents. Dengan menimpa konfigurasi Git tertentu, khususnya pengaturan sshCommand, penyerang dapat memaksa sistem target mengeksekusi perintah arbitrer.
Kerentanan ini ditemukan oleh Wiz Research saat menyelidiki infeksi malware pada server Gogs yang terekspos ke internet pada Juli 2025. Laporan disampaikan ke pengelola Gogs pada 17 Juli dan baru diakui pada 30 Oktober. Patch resmi untuk CVE-2025-8110 dirilis minggu lalu, dengan penambahan validasi jalur yang sadar symlink di seluruh titik penulisan berkas.
Menurut linimasa pengungkapan Wiz, gelombang kedua serangan zero-day terhadap kerentanan ini terdeteksi pada 1 November. Dalam proses investigasi, peneliti menemukan lebih dari 1.400 server Gogs yang terekspos ke internet—sekitar 1.250 di antaranya masih terbuka—dan lebih dari 700 instance menunjukkan tanda-tanda kompromi.
CISA mengonfirmasi temuan tersebut dan memasukkan CVE-2025-8110 ke dalam katalog kerentanan yang dieksploitasi di dunia nyata. Lembaga ini memerintahkan seluruh Federal Civilian Executive Branch (FCEB) untuk menerapkan patch paling lambat 2 Februari 2026. FCEB mencakup lembaga eksekutif sipil non-militer seperti Departemen Energi, Departemen Kehakiman, Departemen Keamanan Dalam Negeri, dan Departemen Luar Negeri.
CISA memperingatkan bahwa jenis kerentanan ini merupakan vektor serangan yang umum digunakan pelaku kejahatan siber dan berisiko tinggi bagi ekosistem federal. Lembaga tersebut mengimbau penerapan mitigasi sesuai panduan vendor, kepatuhan terhadap kebijakan BOD 22-01 untuk layanan cloud, atau penghentian penggunaan produk jika mitigasi tidak tersedia.
Sebagai langkah tambahan untuk mengurangi permukaan serangan, pengguna Gogs disarankan menonaktifkan pengaturan pendaftaran terbuka bawaan dan membatasi akses server menggunakan VPN atau allow list. Administrator juga dianjurkan memeriksa tanda-tanda kompromi, termasuk penggunaan API PutContents yang mencurigakan serta keberadaan repositori dengan nama acak delapan karakter yang dibuat selama dua gelombang serangan.