CVE-2026-52810
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 — wyżej niż 34% wszystkich znanych CVE
Streszczenie
Gogs to otwartoźródłowa usługa Git hostowana na własnym serwerze. W wersjach przed 0.14.3, usługa Git smart HTTP autoryzowała POST …/git-receive-pack przy użyciu ciągu zapytania dostarczonego przez klienta, co pozwalało na wykonanie operacji push tam, gdzie powinno być dozwolone tylko odczyt.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego wprowadzania zmian w repozytoriach, co stwarza ryzyko utraty integralności danych oraz potencjalnych naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację Gogs do wersji 0.14.3 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Gogs is an open source self-hosted Git service. Prior to 0.14.3, Git smart HTTP authorizes POST …/git-receive-pack using the client-supplied service query string (so ?service=git-upload-pack is evaluated as read access) while routing still runs git receive-pack, allowing push where only read should be allowed. This vulnerability is fixed in 0.14.3.

