PT-2026-55302 · Forgejo · Forgejo
George Chen
·
Publicado
2026-07-02
·
Atualizado
2026-07-02
·
CVE-2026-59102
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Forgejo versões anteriores a 15.0.3
Description
Atacantes autenticados podem executar JavaScript arbitrário nos navegadores de outros usuários. Isso ocorre quando a opção
DEFAULT SHOW FULL NAME está habilitada e um atacante define um nome completo contendo um payload HTML. O problema surge porque uma função de tradução no lado do servidor não escapa os argumentos ao montar a descrição de execução de um Actions run, e o frontend subsequentemente renderiza esse conteúdo usando um binding v-html do Vue, permitindo a execução do script injetado quando um usuário visualiza a página do Actions run afetada.Recommendations
Atualize para a versão 15.0.3 ou posterior.
Desative a opção
DEFAULT SHOW FULL NAME como uma medida de mitigação temporária.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Forgejo