Katalog CVE

CVE-2026-58426

KrytyczneCVSS 9.6
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

Podatność w Gitea Actions Artifacts V4 wynika z niejednoznaczności HMAC w podpisanych URL-ach, co umożliwia odczyt artefaktów z innego repozytorium oraz zapis stanu przesyłania między zadaniami.

Ocena ryzyka

Atakujący może uzyskać dostęp do poufnych danych przechowywanych jako artefakty w innych repozytoriach lub manipulować stanem przesyłania, co prowadzi do naruszenia integralności i poufności danych.

Rekomendacja

Zaleca się natychmiastową aktualizację Gitea do wersji zawierającej poprawkę usuwającą niejednoznaczność HMAC w podpisanych URL-ach oraz wdrożenie mechanizmów weryfikacji dostępu do artefaktów.

Oryginalny opis (angielski, źródło NVD)

Gitea Actions Artifacts V4 signed URL HMAC ambiguity allows cross-repository artifact read and cross-task upload-state write

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS