CVE-2026-52808

Nome do Software Vulnerável e Versões Afetadas Gogs (versões afetadas não especificadas)

Description Existe uma falha de bypass de autorização onde três endpoints de API são protegidos por um middleware de nível de escrita em vez de um middleware de nível de administrador. Isso permite que um colaborador com acesso de escrita execute ações administrativas que são corretamente restringidas na interface web. Um invasor pode usar esses endpoints para desativar o rastreador de problemas (issue tracker) ou a wiki nativa e injetar URLs externas controladas pelo invasor, redirecionando todos os visitantes do repositório para sites externos. Além disso, eles podem disparar a sincronização de espelhamento (mirror sync), levando potencialmente ao abuso de recursos.

Os endpoints de API afetados são:

Esses endpoints utilizam incorretamente a função reqRepoWriter(), que apenas verifica se o usuário possui acesso de escrita, em vez de reqRepoAdmin(), que garante que o usuário possua privilégios de administrador. As funções vulneráveis envolvidas são issueTracker(), wiki() e mirrorSync().

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso aos endpoints 'PATCH /api/v1/repos/:owner/:repo/issue-tracker', 'PATCH /api/v1/repos/:owner/:repo/wiki' e 'POST /api/v1/repos/:owner/:repo/mirror-sync' apenas a administradores autorizados.