Katalog CVE

CVE-2026-22874

KrytyczneCVSS 9.6
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.46%

Percentyl 37 — wyżej niż 37% wszystkich znanych CVE

Streszczenie

Podatność CVE-2026-22874 dotyczy Gitea w wersjach do 1.26.2 włącznie. Mechanizm ochrony przed SSRF (Server-Side Request Forgery) w filtrach list dozwolonych dla webhooków i migracji jest niekompletny, co może pozwolić atakującemu na ominięcie zabezpieczeń.

Ocena ryzyka

Ryzyko polega na możliwości wykonania nieautoryzowanych żądań do wewnętrznych zasobów sieciowych przez atakującego, co może prowadzić do wycieku danych, eskalacji uprawnień lub dalszego ataku na infrastrukturę.

Rekomendacja

Zaleca się natychmiastową aktualizację Gitea do wersji nowszej niż 1.26.2, która zawiera poprawkę dla tej podatności. Należy również przejrzeć i wzmocnić reguły filtrowania ruchu sieciowego.

Oryginalny opis (angielski, źródło NVD)

Gitea versions up to and including 1.26.2 have incomplete SSRF protection in webhook and migration allow-list filtering.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS