CVE-2026-52815
ŚrednieCVSS 5.5Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 72 — wyżej niż 72% wszystkich znanych CVE
Streszczenie
Gogs, otwartoźródłowa usługa Git, przed wersją 0.14.3 ma podatność na ujawnienie informacji bez uwierzytelnienia. Punkt końcowy GET /api/v1/orgs/:orgname/teams zwraca wszystkie zespoły dla dowolnej organizacji bez wymogu uwierzytelnienia.
Ocena ryzyka
Organizacje mogą być narażone na ujawnienie wrażliwych informacji o zespołach, takich jak identyfikatory, nazwy, opisy i poziomy uprawnień, co może prowadzić do nieautoryzowanego dostępu lub ataków.
Rekomendacja
Zaleca się aktualizację Gogs do wersji 0.14.3 lub nowszej, aby usunąć tę podatność oraz wdrożenie odpowiednich mechanizmów uwierzytelniania dla punktów końcowych API.
Oryginalny opis (angielski, źródło NVD)
Gogs is an open source self-hosted Git service. Prior to 0.14.3, Gogs has an unauthenticated information disclosure vulnerability. The GET /api/v1/orgs/:orgname/teams endpoint at internal/route/api/v1/org_team.go:8 returns all teams for any organization without requiring authentication. The route group at internal/route/api/v1/api.go:380-385 lacks the reqToken() middleware, and the listTeams() handler performs no authentication check, exposing team IDs, names, descriptions, and permission levels to any unauthenticated caller. This vulnerability is fixed in 0.14.3.

