CVE-2026-52806
KrytyczneCVSS 9.9Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 59 — wyżej niż 59% wszystkich znanych CVE
Streszczenie
Gogs przed wersją 0.14.3 umożliwia uwierzytelnionym użytkownikom zdalne wykonanie kodu (RCE) na serwerze poprzez utworzenie pull requesta z odpowiednio spreparowaną nazwą gałęzi, która wstrzykuje flagę --exec do polecenia git rebase podczas operacji scalania 'Rebase before merging'.
Ocena ryzyka
Atakujący może przejąć kontrolę nad serwerem Gogs, co prowadzi do pełnej kompromitacji danych, modyfikacji repozytoriów oraz potencjalnego rozprzestrzenienia ataku na inne systemy w sieci.
Rekomendacja
Niezwłocznie zaktualizuj Gogs do wersji 0.14.3 lub nowszej. Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz funkcję 'Rebase before merging' dla wszystkich repozytoriów.
Oryginalny opis (angielski, źródło NVD)
Gogs is an open source self-hosted Git service. Prior to 0.14.3, Gogs allows authenticated users to achieve Remote Code Execution (RCE) on the server by creating a pull request with a specially crafted branch name that injects the --exec flag into the git rebase command during the "Rebase before merging" merge operation. This vulnerability is fixed in 0.14.3.

