ساعت 17:16

شناسه CVE: CVE-2025-64111
شدت: 9.3 (Critical)

خلاصه خبر
Gogs، سرویس self-hosted مدیریت مخازن Git متن‌باز، یک آسیب‌پذیری بحرانی با شناسه CVE-2025-64111 دارد. این مشکل در نسخه‌های 0.13.3 و نسخه‌های قدیمی‌تر وجود دارد و ناشی از ناکافی بودن وصله‌ای است که پیش‌تر برای CVE-2024-56731 منتشر شده بود. به‌دلیل این نقص، مهاجم می‌تواند فایل‌هایی را در دایرکتوری git/ به‌روزرسانی کند و از این مسیر اجرای دستور از راه دور (remote command execution — RCE) را محقق سازد. مشکل در نسخه‌های 0.13.4 و شاخه 0.14.0+dev اصلاح شده است.

توضیح فنی بیشتر
وصله قبلی برای CVE-2024-56731 نتوانست تمام مسیرهای حمله مرتبط با دسترسی و تغییر فایل‌های داخل دایرکتوری git/ را پوشش دهد. در نتیجه، حتی پس از اعمال آن وصله، مهاجم با بهره‌گیری از همین مسیرها قادر به تزریق یا تغییر فایل‌هایی است که می‌توانند منجر به اجرای دستور روی سرور میزبان شوند (مثلاً از طریق hooks یا اجزای دیگری که هنگام دسترسی به مخزن اجرا می‌شوند). از آنجا که امکان اجرای دستور از راه دور وجود دارد، خطر نفوذ کامل به سیستم و به‌دست آوردن کنترل سرور بسیار جدی ارزیابی شده و امتیاز CVSS آن 9.3 اعلام شده است.

سیستم‌ها و نسخه‌های تحت تأثیر
– Gogs نسخه 0.13.3 و نسخه‌های قبل از آن تحت تأثیر هستند.
– اشکال در نسخه 0.13.4 و شاخه‌های 0.14.0+dev برطرف شده است.

پیامدها و مخاطرات
– اجرای دستورات از راه دور (RCE) که می‌تواند به مهاجم امکان دهد کد دلخواه را روی سرور اجرا کند.
– احتمال افشاء داده‌های حساس مخازن، تغییر یا حذف سورس‌کد، ایجاد درهای پشتی (backdoor) و گسترش نفوذ در شبکه داخلی.
– در محیط‌های سازمانی، این رخنه می‌تواند منجر به نقض گسترده‌تر امنیتی و آسیب به زنجیره تأمین نرم‌افزار شود.

اقدامات توصیه‌شده (فوری)
1. ارتقاء فورا: در اولین فرصت Gogs را به نسخه 0.13.4 یا بالاتر (یا 0.14.0+dev اگر مناسب است) ارتقاء دهید. این بهترین و فوری‌ترین راهکار است.
2. اگر امکان ارتقاء فوری نیست:
– دسترسی شبکه به رابط‌های مدیریت و سرویس‌های مرتبط را محدود کنید (فایروال، IP allowlist).
– دسترسی غیرضروری به مخازن را حذف یا محدود کنید و حساب‌های با دسترسی بالا را موقتاً غیرفعال کنید.
3. ارزیابی و بررسی پس از حادثه:
– لاگ‌ها و تاریخچه commitها را برای نشانه‌های دسترسی یا تغییرات غیرمجاز بررسی کنید (شاخه‌ها یا commitهای ناشناخته، تغییر در hookها، ایجاد حساب‌های جدید).
– فایل‌های حیاتی و hookها را با نسخه‌های معتبر مقایسه یا از نسخه‌های پشتیبان شناخته‌شده بازیابی کنید.
– در صورت شواهد نفوذ، گذرواژه‌ها و کلیدهای SSH را بازگردانید (rotate) و کلیدهای محرمانه را جایگزین کنید.
4. نظارت و اشرافیت: ابزارهای مانیتورینگ و IDS/IPS را برای شناسایی رفتارهای غیرعادی فعال و بررسی کنید.
5. ارتباط با تیم فنی و اعمال سیاست‌های امن: بروزرسانی‌های امنیتی را به‌صورت منظم اعمال کنید و اصل کمترین دسترسی (least privilege) را اجرا کنید.

منابع و اطلاعات بیشتر
برای جزئیات تکمیلی، از جمله اطلاعات CVSS، لیست دقیق محصولات تحت تأثیر، جدول زمانی وصله‌ها و راهنمای‌های رسمی، به پیوند مربوطه مراجعه کنید.