Katalog CVE

CVE-2026-52806

KrytyczneCVSS 9.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.03%

Percentyl 59 — wyżej niż 59% wszystkich znanych CVE

Streszczenie

Gogs przed wersją 0.14.3 umożliwia uwierzytelnionym użytkownikom zdalne wykonanie kodu (RCE) na serwerze poprzez utworzenie pull requesta z odpowiednio spreparowaną nazwą gałęzi, która wstrzykuje flagę --exec do polecenia git rebase podczas operacji scalania 'Rebase before merging'.

Ocena ryzyka

Atakujący może przejąć kontrolę nad serwerem Gogs, co prowadzi do pełnej kompromitacji danych, modyfikacji repozytoriów oraz potencjalnego rozprzestrzenienia ataku na inne systemy w sieci.

Rekomendacja

Niezwłocznie zaktualizuj Gogs do wersji 0.14.3 lub nowszej. Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz funkcję 'Rebase before merging' dla wszystkich repozytoriów.

Oryginalny opis (angielski, źródło NVD)

Gogs is an open source self-hosted Git service. Prior to 0.14.3, Gogs allows authenticated users to achieve Remote Code Execution (RCE) on the server by creating a pull request with a specially crafted branch name that injects the --exec flag into the git rebase command during the "Rebase before merging" merge operation. This vulnerability is fixed in 0.14.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS