Katalog CVE

CVE-2026-59102

ŚrednieCVSS 5.4
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

Forgejo przed wersją 15.0.3 zawiera podatność na trwałe ataki XSS, umożliwiającą uwierzytelnionym atakującym wykonanie dowolnego kodu JavaScript w przeglądarkach innych użytkowników. Atak polega na ustawieniu pełnej nazwy zawierającej ładunek HTML i uruchomieniu zadania Actions, co prowadzi do wstrzyknięcia skryptu podczas renderowania strony.

Ocena ryzyka

Ryzyko polega na przejęciu sesji użytkowników, kradzieży danych lub wykonaniu nieautoryzowanych działań w kontekście ofiary, co może naruszyć poufność i integralność systemu.

Rekomendacja

Należy niezwłocznie zaktualizować Forgejo do wersji 15.0.3 lub nowszej, która usuwa podatność. Dodatkowo warto rozważyć wyłączenie opcji DEFAULT_SHOW_FULL_NAME, jeśli nie jest wymagana.

Oryginalny opis (angielski, źródło NVD)

Forgejo before 15.0.3 contains a stored cross-site scripting vulnerability that allows authenticated attackers to execute arbitrary JavaScript in other users' browsers by setting a full name containing an HTML payload and triggering an Actions run. When the DEFAULT_SHOW_FULL_NAME option is enabled, the run description is assembled server-side with the user's display name interpolated into an HTML string via a translation function that does not escape its arguments, and the frontend renders the result using a Vue v-html binding, causing script execution for any user who views the affected Actions run page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS