CVE-2026-26247
Niskie ryzyko· EPSS 6%Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Podatność w Gitea przed wersją 1.25.5 nieprawidłowo przechowuje metodę wyzwania PKCE S256 podczas autoryzacji OAuth2, co umożliwia wymianę tokena bez wymaganego sprawdzenia weryfikatora.
Ocena ryzyka
Atakujący może wykorzystać tę lukę do uzyskania nieautoryzowanego dostępu do tokenów OAuth2, co może prowadzić do przejęcia kont użytkowników i dostępu do chronionych zasobów.
Rekomendacja
Należy niezwłocznie zaktualizować Gitea do wersji 1.25.5 lub nowszej, która zawiera poprawkę dla tej podatności.
Oryginalny opis (angielski, źródło NVD)
Gitea versions before 1.25.5 do not persist the OAuth2 PKCE S256 challenge method correctly during authorization, allowing token exchange without the expected verifier check.

