CVE-2026-52808
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 38 — wyżej niż 38% wszystkich znanych CVE
Streszczenie
Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 miała trzy punkty końcowe API, które były zabezpieczone przez reqRepoWriter() zamiast reqRepoAdmin(). Umożliwia to współpracownikom z poziomem dostępu niższym niż administrator na wykonywanie nieautoryzowanych operacji.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowane zmiany w repozytoriach, takie jak dezaktywacja natywnego systemu śledzenia problemów lub wprowadzenie złośliwych linków, co może prowadzić do utraty danych lub zaufania użytkowników.
Rekomendacja
Zaleca się aktualizację Gogs do wersji 0.14.3 lub nowszej, aby zabezpieczyć API przed nieautoryzowanym dostępem oraz przegląd uprawnień współpracowników.
Oryginalny opis (angielski, źródło NVD)
Gogs is an open source self-hosted Git service. Prior to 0.14.3, three API endpoints — PATCH /api/v1/repos/:owner/:repo/issue-tracker, PATCH /api/v1/repos/:owner/:repo/wiki, and POST /api/v1/repos/:owner/:repo/mirror-sync — are gated by reqRepoWriter() rather than reqRepoAdmin(). The equivalent operations in the web UI sit behind reqRepoAdmin, which requires AccessMode >= AccessModeAdmin. A write-level collaborator (who has AccessMode == AccessModeWrite < AccessModeAdmin) can therefore call these API endpoints directly to disable the native issue tracker or wiki, inject attacker-controlled external tracker/wiki URLs that redirect all repository visitors, or trigger mirror sync — none of which they are authorized to do. This vulnerability is fixed in 0.14.3.

