Katalog CVE

CVE-2026-25119

WysokieCVSS 7.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.86%

Percentyl 54 — wyżej niż 54% wszystkich znanych CVE

Streszczenie

Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 akceptowała nagłówek uwierzytelniający bez weryfikacji, czy żądanie pochodzi z zaufanego proxy odwrotnego. To pozwalało atakującym na podszywanie się pod użytkowników lub automatyczne tworzenie kont.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do obejścia mechanizmów uwierzytelniania, co stwarza poważne zagrożenie dla bezpieczeństwa danych i użytkowników Gogs.

Rekomendacja

Zaleca się aktualizację Gogs do wersji 0.14.3 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych środków zabezpieczających w celu weryfikacji źródła żądań.

Oryginalny opis (angielski, źródło NVD)

Gogs is an open source self-hosted Git service. Prior to 0.14.3, when ENABLE_REVERSE_PROXY_AUTHENTICATION is enabled, Gogs accepts the configured authentication header (default: X-WEBAUTH-USER) directly from client requests without validating that the request originated from a trusted reverse proxy. Any remote attacker who can reach the Gogs service can forge this header to impersonate any user or trigger automatic account creation, completely bypassing authentication. This vulnerability is fixed in 0.14.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS