Katalog CVE

CVE-2026-52810

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.43%

Percentyl 34 — wyżej niż 34% wszystkich znanych CVE

Streszczenie

Gogs to otwartoźródłowa usługa Git hostowana na własnym serwerze. W wersjach przed 0.14.3, usługa Git smart HTTP autoryzowała POST …/git-receive-pack przy użyciu ciągu zapytania dostarczonego przez klienta, co pozwalało na wykonanie operacji push tam, gdzie powinno być dozwolone tylko odczyt.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego wprowadzania zmian w repozytoriach, co stwarza ryzyko utraty integralności danych oraz potencjalnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację Gogs do wersji 0.14.3 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Gogs is an open source self-hosted Git service. Prior to 0.14.3, Git smart HTTP authorizes POST …/git-receive-pack using the client-supplied service query string (so ?service=git-upload-pack is evaluated as read access) while routing still runs git receive-pack, allowing push where only read should be allowed. This vulnerability is fixed in 0.14.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS