Katalog CVE

CVE-2026-13540

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

W GitBucket do wersji 4.46.1 wykryto podatność na fałszowanie żądań po stronie serwera (SSRF) w funkcji Git.cloneRepository.setURI. Manipulacja argumentem url w pliku RepositoryCreationService.scala umożliwia zdalne przeprowadzenie ataku. Exploit został opublikowany, a zalecane jest zastosowanie łatki.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wysyłania żądań z serwera GitBucket do wewnętrznych zasobów sieciowych, co może prowadzić do wycieku danych, eskalacji uprawnień lub dalszej kompromitacji infrastruktury.

Rekomendacja

Należy niezwłocznie zastosować łatkę oznaczoną jako 487a9b980f56aa73b6a044b1e86a92eed5043215 lub zaktualizować GitBucket do wersji nowszej niż 4.46.1.

Oryginalny opis (angielski, źródło NVD)

A security flaw has been discovered in GitBucket up to 4.46.1. This affects the function Git.cloneRepository.setURI of the file src/main/scala/gitbucket/core/service/RepositoryCreationService.scala. Performing a manipulation of the argument url results in server-side request forgery. The attack is possible to be carried out remotely. The exploit has been released to the public and may be used for attacks. The patch is named 487a9b980f56aa73b6a044b1e86a92eed5043215. To fix this issue, it is recommended to deploy a patch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS