Katalog CVE

CVE-2026-27761

ŚrednieCVSS 4.3
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 29 — wyżej niż 29% wszystkich znanych CVE

Streszczenie

Podatność w Gitea do wersji 1.26.2 włącznie umożliwia pominięcie kontroli zakresu tokenów API w punktach końcowych kanałów RSS i Atom repozytorium. Skutkuje to ujawnieniem danych commitów z prywatnych repozytoriów tokenom, które nie mają wymaganego zakresu dostępu do repozytorium.

Ocena ryzyka

Organizacja narażona jest na wyciek poufnych danych z prywatnych repozytoriów, takich jak treści commitów, do nieautoryzowanych tokenów API. Może to prowadzić do naruszenia poufności kodu źródłowego i innych wrażliwych informacji.

Rekomendacja

Należy niezwłocznie zaktualizować Gitea do wersji 1.26.3 lub nowszej, która zawiera poprawkę usuwającą tę podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu do punktów końcowych RSS/Atom dla tokenów API o niskim zakresie uprawnień.

Oryginalny opis (angielski, źródło NVD)

Gitea versions up to and including 1.26.2 allow repository RSS and Atom feed endpoints to bypass API access token scope checks, exposing private repository commit data to tokens without the required repository scope.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS