PT-2026-55302 · Forgejo · Forgejo

George Chen

·

Publicado

2026-07-02

·

Atualizado

2026-07-02

·

CVE-2026-59102

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Forgejo versões anteriores a 15.0.3
Description Atacantes autenticados podem executar JavaScript arbitrário nos navegadores de outros usuários. Isso ocorre quando a opção DEFAULT SHOW FULL NAME está habilitada e um atacante define um nome completo contendo um payload HTML. O problema surge porque uma função de tradução no lado do servidor não escapa os argumentos ao montar a descrição de execução de um Actions run, e o frontend subsequentemente renderiza esse conteúdo usando um binding v-html do Vue, permitindo a execução do script injetado quando um usuário visualiza a página do Actions run afetada.
Recommendations Atualize para a versão 15.0.3 ou posterior. Desative a opção DEFAULT SHOW FULL NAME como uma medida de mitigação temporária.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-59102

Produtos afetados

Forgejo