وكالة الأمن السيبراني وأمن البنية التحتية (CISA) تحذر من استغلال ثغرة أمنية في برنامج Gogs Path Traversal في الهجمات

تحذيرٌ بالغ الأهمية بشأن ثغرة أمنية في Gogs، وهي خدمة Git ذاتية الاستضافة، يتم استغلالها بنشاط في بيئات حقيقية.

تمت إضافة هذه الثغرة، المُسجلة تحت رقم CVE-2025-8110، إلى قائمة الثغرات الأمنية المعروفة والمستغلة (KEV) التابعة لوكالة الأمن السيبراني وأمن البنية التحتية (CISA) يناير 2026، مما يُشير إلى استغلالها النشط من قِبل جهات تهديد.

معرّف CVE: CVE-2025-8110
نوع الثغرة: اختراق المسار - معالجة غير سليمة للروابط الرمزية
CWE ذو الصلة: CWE-22
التأثير: تنفيذ التعليمات البرمجية

تؤثر الثغرة الأمنية CVE-2025-8110 على برنامج Gogs، وتنتج عن خلل في معالجة الروابط الرمزية في واجهة برمجة تطبيقات PutContents. يسمح هذا الخلل في مسار الملفات للمهاجمين بالوصول إلى المجلدات المحظورة، وربما تنفيذ تعليمات برمجية ضارة على الأنظمة المعرضة للخطر.

ترتبط هذه الثغرة الأمنية بالثغرة CWE-22، التي تصف تقييد مسارات الملفات بشكل غير صحيح إلى المجلدات المحظورة.

تحدث ثغرات اختراق المسارات عندما يستخدم المهاجمون عناصر خاصة، مثل تسلسلات "../"، للتنقل خارج المجلدات المقصودة والوصول إلى الملفات الحساسة أو تنفيذ تعليمات برمجية خبيثة.

في حالة Gogs، يُتيح الخلل في معالجة الروابط الرمزية فرصة للمهاجمين للتلاعب بمسارات الملفات وتنفيذ التعليمات البرمجية.

يشير إدراج وكالة الأمن السيبراني وأمن البنية التحتية (CISA) للثغرة الأمنية CVE-2025-8110 في قائمة ثغرات الأمن السيبراني الرئيسية (KEV) إلى أن جهات التهديد تستغل هذه الثغرة بنشاط في هجمات واقعية.

وبينما لا يزال من غير المعروف ما إذا كانت هذه الثغرة تُستخدم في حملات برامج الفدية، فإن احتمالية تنفيذ التعليمات البرمجية تجعلها تشكل خطرًا أمنيًا جسيمًا على المؤسسات التي تستخدم أنظمة Gogs المتأثرة.

ووفقًا للتوجيه التشغيلي الملزم (BOD) 22-01، يتعين على الوكالات الفيدرالية معالجة هذه الثغرة بحلول 2 فبراير 2026.

ويُحثّ على تطبيق التحديثات والحلول الوقائية التي يوفرها الموردون فورًا. أما بالنسبة لعمليات نشر الخدمات السحابية، فينبغي على المسؤولين اتباع الإرشادات الواردة في التوجيه التشغيلي الملزم 22-01.

وفي حال عدم توفر الحلول الوقائية، توصي وكالة الأمن السيبراني وأمن البنية التحتية (CISA) بالتوقف عن استخدام المنتج المُعرّض للخطر.

وكالة الأمن السيبراني وأمن البنية التحتية (CISA) تحذر من استغلال ثغرة أمنية في برنامج Gogs Path Traversal في الهجمات

مرسلة بواسطة information753security

إرسال تعليق

0 تعليقات

إن يَعْلَمِ اللَّهُ فِي قُلُوبِكُمْ خَيْرًا يُؤْتِكُمْ خَيْرًا

الأكثر شعبية

مهاجم يستخدم برنامج VVS ealer لاختراق حسابات مستخدمي Discord وسرقة بيانات الاعتماد والرموز المميزة

يتسبب تحديث الأمان الصادر عن مايكروسوفت في يناير 2026 في فشل طلب بيانات الاعتماد في اتصالات سطح المكتب البعيد

هناك اضافات لمتصفح كروم تقومان بسرقة بيانات المستخدم .. تحقق مما إذا كانتا مثبتتين لديك واحذفهما بسرعة

منشورات عشوائية

أداة تذييل القائمة

Contact form

وكالة الأمن السيبراني وأمن البنية التحتية (CISA) تحذر من استغلال ثغرة أمنية في برنامج Gogs Path Traversal في الهجمات

مرسلة بواسطة information753security

قد تُعجبك هذه المشاركات

إرسال تعليق

0 تعليقات

إن يَعْلَمِ اللَّهُ فِي قُلُوبِكُمْ خَيْرًا يُؤْتِكُمْ خَيْرًا

الأكثر شعبية

مهاجم يستخدم برنامج VVS ealer لاختراق حسابات مستخدمي Discord وسرقة بيانات الاعتماد والرموز المميزة

يتسبب تحديث الأمان الصادر عن مايكروسوفت في يناير 2026 في فشل طلب بيانات الاعتماد في اتصالات سطح المكتب البعيد

هناك اضافات لمتصفح كروم تقومان بسرقة بيانات المستخدم .. تحقق مما إذا كانتا مثبتتين لديك واحذفهما بسرعة

منشورات عشوائية

أداة تذييل القائمة

Contact form