CVE-2026-28705
Niskie ryzyko· EPSS 8%Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
Podatność w Gitea przed wersją 1.25.5 pozwala na manipulację ścieżkami plików podczas zrzutu zasobów wydania poprzez specjalnie spreparowane nazwy tagów i zasobów.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do nadpisania lub umieszczenia plików w nieoczekiwanych lokalizacjach systemu plików, co może prowadzić do eskalacji uprawnień lub naruszenia integralności danych.
Rekomendacja
Należy niezwłocznie zaktualizować Gitea do wersji 1.25.5 lub nowszej, która zawiera poprawkę zabezpieczającą.
Oryginalny opis (angielski, źródło NVD)
Gitea versions before 1.25.5 use release tag names and asset names as filesystem path components when dumping release assets, allowing specially crafted names to affect dump output paths.

