CVE-2026-26194

Nome do Software Vulnerável e Versões Afetadas Gogs versões anteriores a 0.14.2

Description Existe um problema de segurança no Gogs, um serviço Git auto-hospedado de código aberto, onde a exclusão de um lançamento pode falhar se um nome de tag controlado pelo usuário for passado ao Git sem o separador adequado. Isso permite a injeção de opções do Git, o que pode interferir no processo, levar a uma negação de serviço operacional nos fluxos de trabalho de limpeza de lançamentos e causar inconsistência nos metadados do lançamento. O problema ocorre porque a variável rel.TagName é usada como um argumento de CLI no comando git tag -d dentro da função process.ExecDir() sem o uso de -- ou --end-of-options. Se o nome da tag começar com um hífen, o Git o interpretará como uma flag. Isso pode ser explorado se um invasor adicionar um nome de tag começando com um hífen ao repositório e um usuário com as permissões adequadas acionar a exclusão por meio da interface web ou API.

Recommendations Atualizar para a versão 0.14.2. Como mitigação temporária, evite excluir lançamentos que possuam nomes de tag começando com um hífen até que a atualização seja aplicada.