CVE-2026-52809
ŚrednieCVSS 6.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W Gogs przed wersją 0.14.3 tokeny resetowania hasła są generowane z czasem życia aktywacji konta (conf.Auth.ActivateCodeLives), a nie z czasem życia resetowania hasła (conf.Auth.ResetPasswordCodeLives). Czas życia tokena jest osadzony w nim podczas generowania i ponownie odczytywany podczas weryfikacji, co sprawia, że ustawienie RESET_PASSWORD_CODE_LIVES jest nieskuteczne. Nawet jeśli administrator skonfiguruje krótszy czas resetowania (np. 10 minut), tokeny pozostają ważne przez pełny czas aktywacji, a e-mail z resetem fałszywie informuje o krótszym terminie ważności.
Ocena ryzyka
Ryzyko polega na tym, że atakujący może wykorzystać token resetowania hasła dłużej niż zamierzono, co umożliwia nieautoryzowane przejęcie konta, szczególnie gdy administrator ustawił krótki czas resetowania w celach zgodności lub bezpieczeństwa.
Rekomendacja
Należy niezwłocznie zaktualizować Gogs do wersji 0.14.3 lub nowszej, która naprawia tę podatność. Po aktualizacji należy również unieważnić wszystkie istniejące tokeny resetowania hasła.
Oryginalny opis (angielski, źródło NVD)
Gogs is an open source self-hosted Git service. Prior to 0.14.3, password-reset tokens are generated using conf.Auth.ActivateCodeLives (the account-activation lifetime), not conf.Auth.ResetPasswordCodeLives. The token lifetime is baked into the token itself at generation time and is re-extracted from the token at verification time, making RESET_PASSWORD_CODE_LIVES irrelevant to actual enforcement. When an administrator configures a shorter reset window (e.g., 10 minutes) for compliance or security reasons, reset tokens remain exploitable for the full activation lifetime instead, while the reset email falsely advertises the shorter expiry. This vulnerability is fixed in 0.14.3.

