Katalog CVE

CVE-2026-52815

ŚrednieCVSS 5.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.55%

Percentyl 72 — wyżej niż 72% wszystkich znanych CVE

Streszczenie

Gogs, otwartoźródłowa usługa Git, przed wersją 0.14.3 ma podatność na ujawnienie informacji bez uwierzytelnienia. Punkt końcowy GET /api/v1/orgs/:orgname/teams zwraca wszystkie zespoły dla dowolnej organizacji bez wymogu uwierzytelnienia.

Ocena ryzyka

Organizacje mogą być narażone na ujawnienie wrażliwych informacji o zespołach, takich jak identyfikatory, nazwy, opisy i poziomy uprawnień, co może prowadzić do nieautoryzowanego dostępu lub ataków.

Rekomendacja

Zaleca się aktualizację Gogs do wersji 0.14.3 lub nowszej, aby usunąć tę podatność oraz wdrożenie odpowiednich mechanizmów uwierzytelniania dla punktów końcowych API.

Oryginalny opis (angielski, źródło NVD)

Gogs is an open source self-hosted Git service. Prior to 0.14.3, Gogs has an unauthenticated information disclosure vulnerability. The GET /api/v1/orgs/:orgname/teams endpoint at internal/route/api/v1/org_team.go:8 returns all teams for any organization without requiring authentication. The route group at internal/route/api/v1/api.go:380-385 lacks the reqToken() middleware, and the listTeams() handler performs no authentication check, exposing team IDs, names, descriptions, and permission levels to any unauthenticated caller. This vulnerability is fixed in 0.14.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS