CVE-2026-52800
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Gogs przed wersją 0.14.3 umożliwia zarządzanie członkami zespołów organizacji za pomocą żądań GET bez ochrony CSRF. Atakujący może wykorzystać tę podatność, nakłaniając zalogowanego właściciela organizacji do odwiedzenia spreparowanego linku, co skutkuje dodaniem kontrolowanego przez atakującego użytkownika do zespołu Owners i uzyskaniem uprawnień właściciela organizacji.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia kontroli nad organizacją przez atakującego, co może prowadzić do nieautoryzowanego dostępu do repozytoriów, modyfikacji kodu źródłowego oraz kradzieży danych.
Rekomendacja
Należy niezwłocznie zaktualizować Gogs do wersji 0.14.3 lub nowszej, która zawiera poprawkę eliminującą brak ochrony CSRF w zarządzaniu członkami zespołów organizacji.
Oryginalny opis (angielski, źródło NVD)
Gogs is an open source self-hosted Git service. Prior to 0.14.3, organization team member management can be performed via GET requests without CSRF protection. If a victim who is an organization owner is logged in and is tricked into visiting a crafted link, an attacker-controlled user can be added to the Owners team. As a result, the attacker gains organization owner–equivalent privileges. This vulnerability is fixed in 0.14.3.

