CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-25921

Critical
Published: Translated: NVD NIST

Summary

Gogs to otwartoźródłowa usługa Git hostowana samodzielnie. W wersjach przed 0.14.2 obiekty LFS mogły być nadpisywane w różnych repozytoriach, co prowadziło do ataków na łańcuch dostaw, umożliwiając złośliwym atakującym nadpisywanie wszystkich obiektów LFS.

Risk Assessment

Organizacje korzystające z Gogs przed wersją 0.14.2 są narażone na ataki, które mogą prowadzić do złośliwego nadpisania obiektów LFS, co może skutkować utratą integralności danych.

Recommendation

Zaleca się aktualizację Gogs do wersji 0.14.2 lub nowszej, aby zabezpieczyć się przed tymi podatnościami.

Original NVD description (English source)

Gogs is an open source self-hosted Git service. Prior to version 0.14.2, overwritable LFS object across different repos leads to supply-chain attack, all LFS objects are vulnerable to be maliciously overwritten by malicious attackers. This issue has been patched in version 0.14.2.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS