Katalog CVE

CVE-2026-52796

NiskieCVSS 3.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

Gogs przed wersją 0.14.3 zawiera podatność na atak DoS polegającą na panicznym zakończeniu działania podczas renderowania specjalnie spreparowanego wzorca indeksu zgłoszenia. Brak domknięcia nawiasu klamrowego w konfiguracji powoduje błąd w funkcji RenderIssueIndexPattern, co uniemożliwia dostęp do stron zawierających odwołania do zgłoszeń.

Ocena ryzyka

Atakujący może skonfigurować złośliwy wzorzec indeksu zgłoszenia, powodując niedostępność repozytorium dla wszystkich użytkowników, co prowadzi do przerwania działania usługi.

Rekomendacja

Należy niezwłocznie zaktualizować Gogs do wersji 0.14.3 lub nowszej, która zawiera poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

Gogs is an open source self-hosted Git service. Prior to 0.14.3, specially crafted issue index pattern can cause a panic when rendering, resulting in denial of service. In internal/markup/markup.go, RenderIssueIndexPattern renders the issue index pattern to a link using com.Expand, which is not safe: when the configured pattern contains an opening brace { but no closing brace }, strings.Index(template, "}") returns -1 and the subsequent slice template[:-1] triggers a panic. Once such a pattern is set, any page in the affected repository that contains an issue index reference such as #1 becomes unavailable. This vulnerability is fixed in 0.14.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS