CVE-2026-52798

Nome do Software Vulnerável e Versões Afetadas Gogs (versões afetadas não especificadas)

Descrição Um problema de cross-site scripting (XSS) armazenado existe devido ao uso de uma biblioteca notebookjs desatualizada. Embora as pré-visualizações de arquivos .ipynb sejam sanitizadas no lado do servidor através do endpoint '/-/api/sanitize ipynb', o conteúdo dentro de elementos com a classe .nb-markdown-cell é renderizado novamente no lado do cliente usando a função marked() sem sanitização adicional. Isso permite que links contendo o esquema javascript: sejam regenerados. Um invasor pode enviar um arquivo .ipynb manipulado para um repositório; quando a vítima visualiza o arquivo e clica no link malicioso, JavaScript arbitrário é executado na origem do Gogs. Isso pode levar a ações não autorizadas usando os privilégios da conta da vítima, roubo de informações confidenciais ou alterações de configuração em toda a instância, caso a vítima seja um administrador.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.