CVE-2026-22874
KrytyczneCVSS 9.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 37 — wyżej niż 37% wszystkich znanych CVE
Streszczenie
Podatność CVE-2026-22874 dotyczy Gitea w wersjach do 1.26.2 włącznie. Mechanizm ochrony przed SSRF (Server-Side Request Forgery) w filtrach list dozwolonych dla webhooków i migracji jest niekompletny, co może pozwolić atakującemu na ominięcie zabezpieczeń.
Ocena ryzyka
Ryzyko polega na możliwości wykonania nieautoryzowanych żądań do wewnętrznych zasobów sieciowych przez atakującego, co może prowadzić do wycieku danych, eskalacji uprawnień lub dalszego ataku na infrastrukturę.
Rekomendacja
Zaleca się natychmiastową aktualizację Gitea do wersji nowszej niż 1.26.2, która zawiera poprawkę dla tej podatności. Należy również przejrzeć i wzmocnić reguły filtrowania ruchu sieciowego.
Oryginalny opis (angielski, źródło NVD)
Gitea versions up to and including 1.26.2 have incomplete SSRF protection in webhook and migration allow-list filtering.

