Критична вразливість у Gogs дозволяє обхід перевірки симлінків при завантаженні файлів

Вразливість CVE-2026-52811 у Gogs дозволяє обійти перевірку симлінків і виконати віддалений код. Оновіть до версії 0.14.3 для захисту.
CVE-2026-52811CVSS 9.0Linux

Критична вразливість у Gogs дозволяє обхід перевірки симлінків при завантаженні файлів

Вразливість CVE-2026-52811 у Gogs дозволяє обійти перевірку симлінків і виконати віддалений код. Оновіть до версії 0.14.3 для захисту.

CVSS
9.0 CRITICAL
EPSS
37.58%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У Gogs до версії 0.14.3 існувала критична вразливість, що дозволяла зловмиснику з правами запису у репозиторій обійти перевірку симлінків при завантаженні файлів. Це могло призвести до запису шкідливих даних у довільні файли, наприклад, для отримання SSH-доступу або виконання коду при наступному пуші.

Бізнес-вплив

Вразливість з критичним рейтингом CVSS 9.0 дозволяє атакуючому з правами запису у репозиторій отримати несанкціонований доступ або виконати віддалений код на сервері, що може призвести до компрометації інфраструктури. Власники та оператори інфраструктури, які використовують Gogs, повинні розглядати цю загрозу як пріоритетну для усунення.

Рекомендовані дії адміністратора

Рекомендується негайно оновити Gogs до версії 0.14.3 або новішої, де ця вразливість виправлена. Якщо оновлення неможливе, слід обмежити права запису у репозиторії, перевірити логи на ознаки експлуатації, а також переглянути налаштування безпеки для зменшення потенційного впливу. Важливо також контролювати доступ до критичних файлів, таких як authorized_keys та скрипти хуків.

Джерела