CVE-2026-28740
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 — wyżej niż 24% wszystkich znanych CVE
Streszczenie
Podatność w Gitea do wersji 1.26.2 włącznie umożliwia ponowne wykorzystanie obiektów Git LFS, co pozwala użytkownikom z dostępem do repozytorium, ale bez dostępu do jednostek kodu, na autoryzację prywatnych obiektów źródłowych.
Ocena ryzyka
Ryzyko polega na nieautoryzowanym dostępie do prywatnych danych przechowywanych w Git LFS, co może prowadzić do wycieku poufnych informacji w organizacji.
Rekomendacja
Zaleca się natychmiastową aktualizację Gitea do wersji nowszej niż 1.26.2, która zawiera poprawkę tej luki bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
Gitea versions up to and including 1.26.2 allow Git LFS object reuse to authorize private source objects for users who have repository access but lack Code-unit access.

