Gogs - CVE-2026-25921
Date de publication :
Il s'agit d'une vulnérabilité dans le mécanisme de stockage Git LFS de Gogs.
Gogs est une application web open source permettant d’héberger des dépôts Git sur un serveur afin de gérer du code source, des versions et la collaboration entre développeurs.
Les objets LFS de dépôts différents sont stockés sans isolation suffisante et le contenu téléversé n’est pas vérifié par rapport au hachage SHA-256 revendiqué.
Un attaquant peut ainsi téléverser un contenu malveillant sous un OID déjà utilisé et écraser un objet LFS existant partagé par un autre dépôt.
Elle permet la modification malveillante d’objets LFS et ouvre la voie à une attaque de chaîne d’approvisionnement.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Atteinte à l'intégrité des données
Exploitation
CWE-345 : Insufficient Verification of Data Authenticity
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : En attente d’information
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
Gogs versions 0.14.1 et antérieures.