CVE-2026-25921

Nome do Software Vulnerável e Versões Afetadas Versões do Gogs anteriores à 0.14.2

Descrição O Gogs, um serviço Git autohospedado, apresenta uma falha na qual objetos do Armazenamento de Arquivos Grandes (LFS) podem ser sobrescritos maliciosamente em diferentes repositórios. Isso ocorre devido à falta de isolamento na forma como os objetos LFS são armazenados, já que os IDs dos repositórios não são concatenados ao caminho de armazenamento. Além disso, o Gogs não verifica o hash SHA-256 dos arquivos LFS carregados, permitindo que atacantes injetem conteúdo malicioso. Um atacante pode explorar isso ao carregar um objeto LFS manipulado em seu repositório, o que sobrescreve o objeto LFS no repositório de outro usuário. Isso pode levar a um ataque na cadeia de suprimentos, já que os usuários que baixam objetos LFS da página da web não recebem nenhum aviso sobre o conteúdo alterado. O endpoint da API '/api/v1/repos/{owner}/{repo}/lfs/objects' está envolvido no processo de upload, e a variável oid identifica o objeto LFS. A função upload é utilizada para gerenciar o processo de upload.

Recomendações As versões anteriores à 0.14.2 devem ser atualizadas para a versão 0.14.2 ou posterior para resolver este problema.