Aanvallers maken actief misbruik van een path traversal-lek in Git-service Gogs, zo laat het Amerikaanse cyberagentschap CISA weten. Volgens securitybedrijf Wiz wordt het beveiligingslek al zeker sinds 10 juli vorig jaar bij aanvallen ingezet. Gogs is een "self-hosted Git service", en een alternatief voor platforms zoals GitHub of GitLab. Het wordt gebruikt voor de ontwikkeling van software.

Via de kwetsbaarheid (CVE-2025-8110) kan een aanvaller bestanden buiten de git repository directory schrijven. Zo is het mogelijk om gevoelige systeembestanden of configuratiebestanden te overschrijven en zo code op het systeem uit te voeren. Wiz ontdekte dat aanvallers via het beveiligingslek op kwetsbare systemen malware installeerden. Op 10 december maakte het securitybedrijf melding van zevenhonderd gecompromitteerde Gogs-servers.

Wiz had de kwetsbaarheid op 17 juli aan de maintainers van Gogs gerapporteerd, maar die hadden op 10 december nog altijd geen beveiligingsupdate uitgebracht. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft misbruik van de kwetsbaarheid bevestigd. Daarnaast zijn Amerikaanse overheidsinstanties nu verplicht om hun Gogs-servers te patchen en bij afwezigheid van een update niet meer te gebruiken. Vijf dagen geleden kwamen de maintainers met een fix om CVE-2025-8110 te mitigeren.