CVE-2025-8110 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Gogs 的 `PutContents` API 对**符号链接**处理不当。 💥 **后果**：攻击者可利用此缺陷实现**本地代码执行 (RCE)**，直接接管服务器控制权。

🔍 **CWE**：CWE-22 (路径遍历/符号链接问题)。 🐛 **缺陷点**：API 在写入文件时，未正确验证或处理**符号链接**，导致恶意链接指向敏感路径。

🏢 **厂商**：Gogs (Gogs Team)。 📦 **产品**：Gogs (基于 Go 的自助 Git 托管服务)。 📌 **范围**：涉及支持创建/迁移仓库及协作者管理的版本。

🔓 **权限**：从 Git 操作权限提升至 **Root/System 权限**。 💾 **数据**：可执行任意代码，读取/修改服务器任意文件，完全控制目标主机。

⚠️ **门槛**：需具备 Gogs 的**写入权限**（如仓库协作者或管理员）。 🔑 **配置**：利用 `PutContents` API，需构造恶意符号链接 payload。

💻 **PoC 丰富**：GitHub 上已有多个 PoC 仓库（如 `rxerium`, `Ashwesker`, `zAbuQasem` 等）。 🔗 **参考**：Wiz Research 发布了详细利用分析博客，技术细节已公开。

🔎 **检测**：检查 Gogs 版本是否受影响。 🛠️ **扫描**：使用提供的 PoC 脚本（如 `111ddea/goga-cve-2025-8110`）验证是否存在符号链接覆盖漏洞。 📡 **监控**：关注 `PutContents` API 的异常调用。

🛡️ **状态**：数据未提供具体补丁链接，但已发布 CVE 编号。 📅 **时间**：2025-12-10 公布，建议立即检查官方更新日志获取最新修复版本。

🚧 **临时规避**： 1. **限制权限**：严格管控仓库协作者写入权限。 2. **API 防护**：在 WAF 或反向代理层限制 `PutContents` 接口的访问。 3. **文件系统**：禁用符号链接创建（如配置 `git config core.symlinks false`，视部署环境而定）。

🔥 **优先级**：**极高 (Critical)**。 💡 **建议**：RCE 漏洞影响巨大，且 PoC 已公开。建议**立即**升级 Gogs 至安全版本或实施临时缓解措施，切勿拖延。