CVE-2026-25232

Nome do Software Vulnerável e Versões Afetadas Versões do Gogs 0.13.4 e inferiores

Descrição O Gogs, um serviço Git de código aberto e auto-hospedado, contém um problema de bypass de controle de acesso. Colaboradores do repositório com permissões de escrita podem excluir branches protegidas, incluindo a branch padrão, ao enviar uma solicitação POST direta. Isso contorna o mecanismo de proteção de branch, permitindo escalonamento de privilégios do nível de escrita para o nível de administrador. A vulnerabilidade existe na função DeleteBranchPost dentro do arquivo internal/route/repo/branch.go, especificamente nas linhas 110-155. A operação de exclusão pela interface web não aciona os Git Hooks, os quais previnem corretamente a exclusão de branch protegida via push SSH. Os atacantes devem ter permissões de escrita no repositório alvo e acesso à interface web do Gogs para explorar este problema. O código vulnerável carece de verificações para branches protegidas e padrão, enquanto a camada de interface de usuário e os Git Hooks implementam corretamente essas verificações. O endpoint de API vulnerável é '/delete/*' e o parâmetro vulnerável é o nome da branch.

Recomendações Versões anteriores à 0.14.1 são afetadas. Atualize para a versão 0.14.1 ou posterior para resolver esta vulnerabilidade.