CVE-2026-52795
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Gogs to otwartoźródłowa usługa Git, która w wersji 0.14.3 i wcześniejszych pozwala uwierzytelnionym użytkownikom na obserwowanie prywatnych repozytoriów, do których nie mają dostępu. Problem wynika z błędnie zaimplementowanej kontroli dostępu w API Watch, co umożliwia atakującym dostęp do informacji z prywatnych repozytoriów.
Ocena ryzyka
Organizacje mogą być narażone na wyciek poufnych informacji z prywatnych repozytoriów, co może prowadzić do naruszenia bezpieczeństwa danych oraz utraty zaufania klientów.
Rekomendacja
Zaleca się aktualizację Gogs do najnowszej wersji, aby naprawić błąd w kontroli dostępu oraz przeglądanie uprawnień użytkowników do prywatnych repozytoriów.
Oryginalny opis (angielski, źródło NVD)
Gogs is an open source self-hosted Git service. In 0.14.3 and earlier, any authenticated user can watch a private repository they have no access to, because the access check in the Watch API handler is inverted. The code checks if repoCtx.ViewerCanRead() (returns 404 when the user CAN read) instead of if !repoCtx.ViewerCanRead() (return 404 when the user CANNOT read). Once watching, the attacker's dashboard activity feed shows commit messages, branch names, issue titles, and PR details from the private repository. If email notifications are enabled, the attacker also receives emails containing issue and comment content.

