Katalog CVE

CVE-2026-28744

WysokieCVSS 8.1
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.34%

Percentyl 26 — wyżej niż 26% wszystkich znanych CVE

Streszczenie

Podatność w Gitea do wersji 1.26.1 włącznie umożliwia ominięcie kontroli zakresu tokena repozytorium dla uwierzytelnionych żądań Git smart HTTP z tokenami typu bearer.

Ocena ryzyka

Atakujący z ważnym tokenem bearer może uzyskać nieautoryzowany dostęp do repozytoriów, do których token nie powinien mieć uprawnień, co prowadzi do wycieku danych lub nieautoryzowanych modyfikacji.

Rekomendacja

Należy niezwłocznie zaktualizować Gitea do wersji 1.26.2 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Gitea versions up to and including 1.26.1 allow Git smart HTTP requests authenticated with bearer tokens to bypass repository token scope checks.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS