CVE-2026-26196

Nome do Software Vulnerável e Versões Afetadas Versões do Gogs anteriores à 0.14.2

Descrição A API do Gogs aceita tokens em parâmetros de URL, especificamente token e access token. Isso pode levar à divulgação de informações, já que esses tokens podem ser registrados, armazenados no histórico do navegador ou enviados em cabeçalhos de referência. A API verifica tokens em parâmetros de consulta de URL antes de verificar o cabeçalho Authorization. Rotas da API aceitam solicitações autenticadas por token. Isso permite o reuso potencial de tokens até que sejam revogados.

Recomendações As versões anteriores à 0.14.2 devem ser atualizadas para a versão 0.14.2. Cabeçalhos de autenticação devem ser usados exclusivamente para transmissão de tokens. Parâmetros de token devem ser bloqueados no nível do proxy ou WAF. As strings de consulta devem ser removidas dos logs. Deve ser definida uma política de referência estrita.