Katalog CVE

CVE-2026-52800

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 16 — wyżej niż 16% wszystkich znanych CVE

Streszczenie

Gogs przed wersją 0.14.3 umożliwia zarządzanie członkami zespołów organizacji za pomocą żądań GET bez ochrony CSRF. Atakujący może wykorzystać tę podatność, nakłaniając zalogowanego właściciela organizacji do odwiedzenia spreparowanego linku, co skutkuje dodaniem kontrolowanego przez atakującego użytkownika do zespołu Owners i uzyskaniem uprawnień właściciela organizacji.

Ocena ryzyka

Ryzyko polega na możliwości przejęcia kontroli nad organizacją przez atakującego, co może prowadzić do nieautoryzowanego dostępu do repozytoriów, modyfikacji kodu źródłowego oraz kradzieży danych.

Rekomendacja

Należy niezwłocznie zaktualizować Gogs do wersji 0.14.3 lub nowszej, która zawiera poprawkę eliminującą brak ochrony CSRF w zarządzaniu członkami zespołów organizacji.

Oryginalny opis (angielski, źródło NVD)

Gogs is an open source self-hosted Git service. Prior to 0.14.3, organization team member management can be performed via GET requests without CSRF protection. If a victim who is an organization owner is logged in and is tricked into visiting a crafted link, an attacker-controlled user can be added to the Owners team. As a result, the attacker gains organization owner–equivalent privileges. This vulnerability is fixed in 0.14.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS