CVE-2026-47267
WysokieCVSS 8.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 32 — wyżej niż 32% wszystkich znanych CVE
Streszczenie
Gogs to otwartoźródłowa usługa Git hostowana samodzielnie. W wersjach przed 0.14.3, poprawka dla CVE-2022-1285 uniemożliwiała dodawanie webhooków lub uruchamianie ich z adresami URL, których nazwa hosta rozwiązuje się w localCIDRs. Niemniej jednak, webhooki nadal podążają za przekierowaniami, co pozwala na dostęp do nazw hostów wewnątrz localCIDRs.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do zasobów wewnętrznych organizacji poprzez wykorzystanie przekierowań w webhookach. Może to skutkować ujawnieniem wrażliwych danych lub umożliwieniem ataków na infrastrukturę lokalną.
Rekomendacja
Zaleca się aktualizację Gogs do wersji 0.14.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt konfiguracji webhooków w celu zminimalizowania ryzyka.
Oryginalny opis (angielski, źródło NVD)
Gogs is an open source self-hosted Git service. Prior to 0.14.3, the fix for CVE-2022-1285 prevents adding webooks or running webhooks with URLs with a hostname that resolves in localCIDRs. However, webhooks still follow redirects allowing to access hostname inside localCIDRs. This vulnerability is fixed in 0.14.3.

