CVE-2026-52808— Gogs 协作方可通过API篡改管理员专属仓库设置

CVSS 7.1 · High EPSS 0.48% · P38 更新于 2026-06-27

获取后续新漏洞提醒登录后订阅

一、漏洞 CVE-2026-52808 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞信息

对漏洞内容有疑问？看看神龙的深度分析是否有帮助！

查看神龙十问 ↗

尽管我们使用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性，但请您根据实际情况进行核实和判断。

Vulnerability Title

Gogs: Write-level collaborators can mutate admin-only repository settings via API

来源: 美国国家漏洞数据库 NVD

Vulnerability Description

Gogs is an open source self-hosted Git service. Prior to 0.14.3, three API endpoints — PATCH /api/v1/repos/:owner/:repo/issue-tracker, PATCH /api/v1/repos/:owner/:repo/wiki, and POST /api/v1/repos/:owner/:repo/mirror-sync — are gated by reqRepoWriter() rather than reqRepoAdmin(). The equivalent operations in the web UI sit behind reqRepoAdmin, which requires AccessMode >= AccessModeAdmin. A write-level collaborator (who has AccessMode == AccessModeWrite < AccessModeAdmin) can therefore call these API endpoints directly to disable the native issue tracker or wiki, inject attacker-controlled external tracker/wiki URLs that redirect all repository visitors, or trigger mirror sync — none of which they are authorized to do. This vulnerability is fixed in 0.14.3.

来源: 美国国家漏洞数据库 NVD

CVSS Information

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L

来源: 美国国家漏洞数据库 NVD

Vulnerability Type

授权机制不正确

来源: 美国国家漏洞数据库 NVD

受影响产品

厂商	产品	影响版本	CPE	订阅
gogs	gogs	< 0.14.3	-

二、漏洞 CVE-2026-52808 的公开POC

#	POC 描述	源链接	神龙链接

AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-52808 的情报信息

请登录查看更多情报信息。

CVE-2026-52808 其他参考 (4)

🔗 security: require admin for repo settings API endpoints by unknwon · Pull Request #8327 · gogs/gogs · GitHub 查看完整文章 x_refsource_MISC
🔗 Release 0.14.3 · gogs/gogs · GitHub 查看完整文章 x_refsource_MISC
🔗 Write-level collaborators can mutate admin-only repository settings via API · Advisory · gogs/gogs · GitHub 查看完整文章 x_refsource_CONFIRM
🔗 security: require admin for repo settings API endpoints (#8327) · gogs/gogs@6283462 · GitHubx_refsource_MISC

https://nvd.nist.gov/vuln/detail/CVE-2026-52808

同批安全公告 · gogs · 2026-06-24 · 共 24 条

CVE-2026-52813	10.0 CRITICAL	Gogs 组织名称路径穿越导致Git钩子远程代码执行漏洞
CVE-2026-52806	9.9 CRITICAL	Gogs 通过拉取请求合并中的 git rebase --exec 参数注入实现远程代码执行
CVE-2026-52798	8.9 HIGH	Gogs 在 `.ipynb` 预览中存在存储型 XSS 漏洞
CVE-2026-52800	8.8 HIGH	Gogs CSRF导致组织所有者被接管漏洞
CVE-2026-52805	8.7 HIGH	Gogs 迁移重定向绕过导致内部仓库泄露
CVE-2026-52797	8.5 HIGH	Gogs 关键文件覆盖导致拒绝服务漏洞
CVE-2026-47267	8.3 HIGH	Gogs webhook交付功能服务器端请求伪造漏洞
CVE-2026-52801	8.1 HIGH	Gogs 通过镜像设置导入本地仓库功能
CVE-2026-52799	7.5 HIGH	Gogs 附件下载缺少授权漏洞
CVE-2026-52809	6.8 MEDIUM	Gogs 密码重置令牌复用账号激活有效期
CVE-2026-52802	5.4 MEDIUM	Gogs 通过 redirect_to 实现开放重定向漏洞
CVE-2025-64719	4.9 MEDIUM	Gogs 仓库/维基文件列表拒绝服务漏洞
CVE-2026-52795	4.3 MEDIUM	Gogs Watch API授权绕过允许监控私有仓库
CVE-2026-52796	3.5 LOW	Gogs 在渲染问题索引模式时存在拒绝服务漏洞
CVE-2026-52807		Gogs 里程碑名称DOM型XSS漏洞
CVE-2026-52810		Gogs 利用 receive-pack 和 service=git-upload-pack 混淆向只读仓库写入
CVE-2026-52816		Gogs Jupyter Notebook 未认证任意数据URI导致XSS
CVE-2026-52814		Gogs SSH握手不对称拒绝服务漏洞
CVE-2026-52812		Gogs LFS去重路径泄露私有仓库内容
CVE-2026-52811		Gogs 上传仓库文件越界写漏洞

显示前 20 条，共 24 条。查看全部 → →

IV. Related Vulnerabilities

Same product: gogs

Same vendor: gogs

Same weakness: CWE-863

V. Comments for CVE-2026-52808

暂无评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-52808— Gogs 协作方可通过API篡改管理员专属仓库设置

一、漏洞 CVE-2026-52808 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-52808 的公开POC

三、漏洞 CVE-2026-52808 的情报信息

CVE-2026-52808 其他参考 (4)

同批安全公告 · gogs · 2026-06-24 · 共 24 条

IV. Related Vulnerabilities

V. Comments for CVE-2026-52808

发表评论

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-52808— Gogs 协作方可通过API篡改管理员专属仓库设置

一、 漏洞 CVE-2026-52808 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-52808 的公开POC

三、漏洞 CVE-2026-52808 的情报信息

CVE-2026-52808 其他参考 (4)

同批安全公告 · gogs · 2026-06-24 · 共 24 条

IV. Related Vulnerabilities

V. Comments for CVE-2026-52808

发表评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

一、漏洞 CVE-2026-52808 基础信息