Katalog CVE

CVE-2026-28737

WysokieCVSS 8.7
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 26 — wyżej niż 26% wszystkich znanych CVE

Streszczenie

Podatność w Gitea umożliwia przechowywany atak XSS przez pole extensionsRequired w plikach glTF renderowanych przez przeglądarkę 3D. Dotyczy wersji od 1.25.0 do 1.26.0.

Ocena ryzyka

Atakujący może wstrzyknąć złośliwy skrypt, który wykona się w przeglądarce ofiary, prowadząc do kradzieży sesji, modyfikacji repozytoriów lub kradzieży danych.

Rekomendacja

Zaleca się natychmiastową aktualizację Gitea do wersji 1.26.0 lub nowszej, która zawiera poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

Gitea versions from 1.25.0 before 1.26.0 allow stored cross-site scripting through the extensionsRequired field in glTF files rendered by the 3D file viewer.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS