CVE-2026-52802
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 42 — wyżej niż 42% wszystkich znanych CVE
Streszczenie
Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 zawierała podatność na otwarte przekierowania. Parametry redirect_to kontrolowane przez atakującego mogły omijać walidację, co pozwalało na przekierowanie do dowolnych zewnętrznych stron.
Ocena ryzyka
Organizacje mogą być narażone na ataki phishingowe lub inne nieautoryzowane przekierowania, co może prowadzić do utraty danych lub naruszenia bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację Gogs do wersji 0.14.3 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Gogs is an open source self-hosted Git service. Prior to 0.14.3, an open redirect vulnerability exists in Gogs where attacker-controlled redirect_to parameters can bypass validation, allowing redirection to arbitrary external sites. All redirects in Gogs that are validated via the IsSameSite function are vulnerable. The function only inspects the first two characters of the URL string. This check fails to account for directory traversal sequences followed by backslashes. This vulnerability is fixed in 0.14.3.

