CVE-2026-58369
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 — wyżej niż 28% wszystkich znanych CVE
Streszczenie
Woodpecker przed wersją 3.15.0 udostępnia endpoint /api/orgs/lookup/*org_full_name bez uwierzytelniania, a procedura obsługi wywołuje pusty wskaźnik (NULL pointer dereference) dla nieuwierzytelnionych żądań. Każde takie żądanie powoduje panic, który jest przechwytywany przez middleware gin, ale generuje wieloliniowy stack trace w logach błędów.
Ocena ryzyka
Atakujący bez uwierzytelnienia może wielokrotnie wywoływać ten endpoint, powodując zalewanie logów (około 37 linii na żądanie), co prowadzi do nadmiernego zużycia miejsca na dysku, zwiększenia kosztów przetwarzania logów oraz utrudnienia identyfikacji prawdziwych zdarzeń bezpieczeństwa.
Rekomendacja
Należy natychmiast zaktualizować Woodpecker do wersji 3.15.0 lub nowszej, która zawiera poprawkę usuwającą podatność. Jeśli aktualizacja nie jest możliwa, tymczasowo zablokuj dostęp do endpointu /api/orgs/lookup/*org_full_name dla nieuwierzytelnionych użytkowników na poziomie firewalla lub reverse proxy.
Oryginalny opis (angielski, źródło NVD)
Woodpecker before 3.15.0 registers the /api/orgs/lookup/*org_full_name endpoint without authentication middleware, and the LookupOrg handler unconditionally dereferences the session user (user.ForgeID, via ForgeFromUser) when selecting the forge to query. For an unauthenticated request session.User returns nil, so any unauthenticated HTTP request triggers a NULL pointer dereference in the handler. The panic is recovered by gin recovery middleware and the server continues serving (returning HTTP 500), but each request writes a multi-line panic stack trace to the error log. A low-bandwidth unauthenticated attacker can repeatedly probe the endpoint to flood the logs (about 37 lines per request), inflating disk usage and downstream log-ingestion cost and burying legitimate log events.

