漏洞概述 漏洞名称: Missing Authorization in Attachment Download CVE ID: CVE-2025-52799 CVSS v3 base metrics: 7.5 / 10 严重程度: High 描述: 在 Gogs 0.14.1 中,GET 返回原始附件文件,而未验证请求者是否有权查看关联的 Issue/Comment/Release 或仓库。在测试环境中,当 时,确认未认证用户可以下载属于私有仓库的附件。 相关代码: 预条件: 攻击者知道目标附件的 UUID(即附件 URL)。 对于未认证利用: 。 即使 ,利用仍可能成功,因为处理程序不检查仓库级权限;登录但缺乏目标仓库访问权限的用户仍可能检索到附件。 影响范围 受影响版本: <= 0.14.2 修复版本: 0.14.3 最低所需权限: : 无权限(无需认证)。 : 仅登录权限(仓库查看权限在实践中不需要)。 影响: 私有仓库或受限 Issue/Release 中附加的机密信息可能会被泄露。 示例包括凭证、加密密钥、个人数据、内部文档或未发布的源代码片段。 虽然严重程度取决于附件内容,但附件通常包含敏感数据,因此潜在影响很高。 修复方案 修复版本: 升级到 0.14.3 或更高版本。 复现步骤 1. 以管理员身份登录并创建一个私有仓库,例如 。 2. 向该仓库中的 Issue 添加附件,并记录附件 UUID(测试中使用的示例 UUID: )。 3. 注销并作为未认证用户访问以下内容: - 仓库页面 → 404 Not Found - 该仓库下的 Issue 页面 → 404 Not Found - → 附件文件成功下载 代码块