CVE-2026-20779
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 38 — wyżej niż 38% wszystkich znanych CVE
Streszczenie
Podatność w Gitea w wersjach od 1.5.0 do 1.26.2 pozwala na wielokrotne użycie tego samego kodu TOTP w procesie uwierzytelniania dwuskładnikowego przez web oraz Basic Auth z nagłówkiem X-Gitea-OTP.
Ocena ryzyka
Atakujący może przechwycić ważny kod TOTP i użyć go wielokrotnie, co umożliwia nieautoryzowany dostęp do kont użytkowników pomimo włączonego uwierzytelniania dwuskładnikowego.
Rekomendacja
Należy niezwłocznie zaktualizować Gitea do wersji 1.26.3 lub nowszej, która usuwa tę podatność.
Oryginalny opis (angielski, źródło NVD)
Gitea versions from 1.5.0 before 1.26.3 have a TOTP single-use enforcement defect that allows a valid TOTP code to be accepted more than once across web two-factor authentication flows and the Basic Auth X-Gitea-OTP path.

