Katalog CVE

CVE-2026-52808

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.48%

Percentyl 38 — wyżej niż 38% wszystkich znanych CVE

Streszczenie

Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 miała trzy punkty końcowe API, które były zabezpieczone przez reqRepoWriter() zamiast reqRepoAdmin(). Umożliwia to współpracownikom z poziomem dostępu niższym niż administrator na wykonywanie nieautoryzowanych operacji.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowane zmiany w repozytoriach, takie jak dezaktywacja natywnego systemu śledzenia problemów lub wprowadzenie złośliwych linków, co może prowadzić do utraty danych lub zaufania użytkowników.

Rekomendacja

Zaleca się aktualizację Gogs do wersji 0.14.3 lub nowszej, aby zabezpieczyć API przed nieautoryzowanym dostępem oraz przegląd uprawnień współpracowników.

Oryginalny opis (angielski, źródło NVD)

Gogs is an open source self-hosted Git service. Prior to 0.14.3, three API endpoints — PATCH /api/v1/repos/:owner/:repo/issue-tracker, PATCH /api/v1/repos/:owner/:repo/wiki, and POST /api/v1/repos/:owner/:repo/mirror-sync — are gated by reqRepoWriter() rather than reqRepoAdmin(). The equivalent operations in the web UI sit behind reqRepoAdmin, which requires AccessMode >= AccessModeAdmin. A write-level collaborator (who has AccessMode == AccessModeWrite < AccessModeAdmin) can therefore call these API endpoints directly to disable the native issue tracker or wiki, inject attacker-controlled external tracker/wiki URLs that redirect all repository visitors, or trigger mirror sync — none of which they are authorized to do. This vulnerability is fixed in 0.14.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS