CVE-2026-25921
CriticalSummary
Gogs to otwartoźródłowa usługa Git hostowana samodzielnie. W wersjach przed 0.14.2 obiekty LFS mogły być nadpisywane w różnych repozytoriach, co prowadziło do ataków na łańcuch dostaw, umożliwiając złośliwym atakującym nadpisywanie wszystkich obiektów LFS.
Risk Assessment
Organizacje korzystające z Gogs przed wersją 0.14.2 są narażone na ataki, które mogą prowadzić do złośliwego nadpisania obiektów LFS, co może skutkować utratą integralności danych.
Recommendation
Zaleca się aktualizację Gogs do wersji 0.14.2 lub nowszej, aby zabezpieczyć się przed tymi podatnościami.
Original NVD description (English source)
Gogs is an open source self-hosted Git service. Prior to version 0.14.2, overwritable LFS object across different repos leads to supply-chain attack, all LFS objects are vulnerable to be maliciously overwritten by malicious attackers. This issue has been patched in version 0.14.2.

