Katalog CVE

CVE-2026-47267

WysokieCVSS 8.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.40%

Percentyl 32 — wyżej niż 32% wszystkich znanych CVE

Streszczenie

Gogs to otwartoźródłowa usługa Git hostowana samodzielnie. W wersjach przed 0.14.3, poprawka dla CVE-2022-1285 uniemożliwiała dodawanie webhooków lub uruchamianie ich z adresami URL, których nazwa hosta rozwiązuje się w localCIDRs. Niemniej jednak, webhooki nadal podążają za przekierowaniami, co pozwala na dostęp do nazw hostów wewnątrz localCIDRs.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu do zasobów wewnętrznych organizacji poprzez wykorzystanie przekierowań w webhookach. Może to skutkować ujawnieniem wrażliwych danych lub umożliwieniem ataków na infrastrukturę lokalną.

Rekomendacja

Zaleca się aktualizację Gogs do wersji 0.14.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt konfiguracji webhooków w celu zminimalizowania ryzyka.

Oryginalny opis (angielski, źródło NVD)

Gogs is an open source self-hosted Git service. Prior to 0.14.3, the fix for CVE-2022-1285 prevents adding webooks or running webhooks with URLs with a hostname that resolves in localCIDRs. However, webhooks still follow redirects allowing to access hostname inside localCIDRs. This vulnerability is fixed in 0.14.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS