美国网络安全和基础设施安全局（CISA）于2026年1月12日，将自建Git服务Gogs的漏洞CVE-2025-8110纳入已遭利用的漏洞目录（KEV），并要求美国联邦民用行政部门在2026年2月2日前完成修补或采取替代措施，以降低威胁扩散风险。

Gogs是用Go语言开发的轻量级自托管Git服务，常用于中小型团队或内网代码托管场景。安全公司Wiz披露的CVE-2025-8110之所以受到关注，是因为其攻击流程贴近真实场景：攻击者在拥有已验证身份且具备创建仓库等权限的前提下，可通过PutContents API配合符号链接（Symbolic Link）绕过路径检查，将写入操作导向仓库目录之外，从而在服务器端实现任意命令执行。研究人员指出，该漏洞本质上是绕过了此前的修复措施，凸显出若对符号链接和路径边界检查不够严谨，仍可能被再次利用。

根据调查，研究人员已发现超过700个暴露在互联网上的Gogs实例存在被入侵迹象，时间可追溯至2025年7月。事实上，Wiz早在2025年7月10日就观测到实际攻击活动，并于7月17日向Gogs维护团队通报。随后CISA于2026年1月12日将CVE-2025-8110纳入KEV清单，该事件性质也从研究发现升级为官方明确列管且已被实际利用的漏洞。

Gogs项目已在GitHub代码库提交了针对CVE-2025-8110的修复方案，核心措施是强化符号链接与路径边界检查，防止通过PutContents等写入操作将文件更新导向仓库目录之外。企业与开发团队应首先排查环境中是否仍在使用Gogs，特别是对外服务节点，再根据供应商指引评估更新或采取等效缓解措施，例如减少对外暴露面、关闭不必要的开放注册功能。

CISA要求联邦民用行政部门依据供应商指引落实缓解措施，云服务则按相关规范处理；若无法获得可行缓解方案，应停止使用该产品。CISA通过KEV机制建议各组织根据清单优先级安排漏洞修复工作，将有限资源优先用于已证实被利用的漏洞。