CISA警告Gogs零時差漏洞已被用於實際攻擊
漏洞背景與攻擊流程
資安業者Wiz於2025年7月發現,有人針對能從網際網路存取的Gogs平臺發動攻擊,駭客利用未知漏洞達成目的。該漏洞被正式登記為CVE-2025-8110,屬於「零時差漏洞」,攻擊者可在開發人員修補前即釋出惡意軟體。
CISA行動與警告
美國網路安全暨基礎設施安全管理署(CISA)於2026年1月12日將CVE-2025-8110納入已遭利用的漏洞列表(KEV),並明確指出這些漏洞已被攻擊者用於真實入侵行動中。
CISA呼籲美國聯邦民事行政部門機關在2026年2月2日前完成修補或採取替代措施,以降低既有威脅擴散的風險。
相關影響與擴展
- 此漏洞影響企業邊界設備、遠端存取系統與更新機制,成為威脅者鎖定的突破口。
- 類似「零時差漏洞攻擊」在近年持續升溫,例如三星智慧型手機漏洞CVE-2025-21042亦被CISA列入KEV清單。