CVE-2026-22592

Nome do Software Vulnerável e Versões Afetadas Versões do Gogs anteriores a 0.13.4 Versões do Gogs anteriores a 0.14.0+dev

Descrição O Gogs é um serviço Git auto-hospedado suscetível a um ataque de negação de serviço (DoS). Um usuário autenticado pode provocar uma falha iniciando uma sincronização de espelho em um repositório e, em seguida, excluindo o repositório antes que a sincronização seja concluída. Especificamente, o problema ocorre quando a função GetMirrorByRepoID falha, levando a uma desreferência de ponteiro nulo. O código vulnerável está localizado em internal/database/mirror.go, linhas 333-337 e 269-278. Uma prova de conceito (PoC) envolve acionar repetidamente a sincronização de espelho via endpoint da API /superuser/gobypass403/settings usando o parâmetro action definido como 'mirror-sync' enquanto exclui simultaneamente o repositório.

Recomendações Versões anteriores a 0.13.4 devem ser atualizadas para a versão 0.13.4 ou posterior. Versões anteriores a 0.14.0+dev devem ser atualizadas para a versão 0.14.0+dev ou posterior.