CVE-2026-52811

Nome do Software Vulnerável e Versões Afetadas Gogs versões 0.14.0 até 0.14.2

Description Existe um problema onde a função UploadRepoFiles verifica links simbólicos apenas na folha do destino do upload usando osx.IsSymlink(), diferentemente de outras funções que validam cada componente do caminho. Um invasor com acesso de escrita ao repositório pode explorar isso realizando um upload multipart com um nome de arquivo contendo uma barra invertida literal. No Linux e macOS, o filepath.Base preserva barras invertidas, que são posteriormente convertidas em barras normais por pathx.Clean().

Isso permite que o invasor redirecione a operação de escrita através de um link simbólico de diretório previamente commitado. Como o iox.CopyFile() utiliza os.Create() sem a flag O NOFOLLOW, o kernel segue o link simbólico pai, permitindo que o invasor escreva bytes arbitrários em qualquer local onde o UID do Gogs tenha permissões de acesso. Alvos potenciais incluem ~git/.ssh/authorized keys para obter acesso SSH ou <repo>.git/hooks/post-receive para alcançar a execução remota de código (RCE) no próximo push. Versões para Windows não são afetadas devido ao tratamento diferente de separadores de caminho e configurações padrão do git.

Recommendations Para as versões 0.14.0 até 0.14.2: