CVE-2026-26292
Niskie ryzyko· EPSS 7%Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
Podatność w Gitea przed wersją 1.25.5 polega na tym, że operacje push LFS i synchronizacji mirror nie korzystają z transportu HTTP migracji, co omija skonfigurowane zabezpieczenia transportu migracji dla tych żądań LFS.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany transfer danych LFS poza dozwolone kanały migracji, co zwiększa ryzyko wycieku danych lub naruszenia polityk bezpieczeństwa.
Rekomendacja
Zaleca się natychmiastową aktualizację Gitea do wersji 1.25.5 lub nowszej, aby zapewnić stosowanie zabezpieczeń transportu migracji również dla operacji LFS.
Oryginalny opis (angielski, źródło NVD)
Gitea versions before 1.25.5 do not use the migration HTTP transport for LFS push and sync mirror operations, bypassing the configured migration transport protections for those LFS requests.

