CVE-2026-59102
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
Forgejo przed wersją 15.0.3 zawiera podatność na trwałe ataki XSS, umożliwiającą uwierzytelnionym atakującym wykonanie dowolnego kodu JavaScript w przeglądarkach innych użytkowników. Atak polega na ustawieniu pełnej nazwy zawierającej ładunek HTML i uruchomieniu zadania Actions, co prowadzi do wstrzyknięcia skryptu podczas renderowania strony.
Ocena ryzyka
Ryzyko polega na przejęciu sesji użytkowników, kradzieży danych lub wykonaniu nieautoryzowanych działań w kontekście ofiary, co może naruszyć poufność i integralność systemu.
Rekomendacja
Należy niezwłocznie zaktualizować Forgejo do wersji 15.0.3 lub nowszej, która usuwa podatność. Dodatkowo warto rozważyć wyłączenie opcji DEFAULT_SHOW_FULL_NAME, jeśli nie jest wymagana.
Oryginalny opis (angielski, źródło NVD)
Forgejo before 15.0.3 contains a stored cross-site scripting vulnerability that allows authenticated attackers to execute arbitrary JavaScript in other users' browsers by setting a full name containing an HTML payload and triggering an Actions run. When the DEFAULT_SHOW_FULL_NAME option is enabled, the run description is assembled server-side with the user's display name interpolated into an HTML string via a translation function that does not escape its arguments, and the frontend renders the result using a Vue v-html binding, causing script execution for any user who views the affected Actions run page.

