Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-27771
WysokieEPSS 98%

Podatność w Gitea do wersji 1.26.1 włącznie wynika z niewystarczających kontroli uprawnień dla linków źródłowych pakietów Composer. Może to prowadzić do ujawnienia informacji o prywatnych lub wewnętrznych źródłach pakietów.

CVE-2026-27761
Średnie

Podatność w Gitea do wersji 1.26.2 włącznie umożliwia pominięcie kontroli zakresu tokenów API w punktach końcowych kanałów RSS i Atom repozytorium. Skutkuje to ujawnieniem danych commitów z prywatnych repozytoriów tokenom, które nie mają wymaganego zakresu dostępu do repozytorium.

CVE-2026-27660
Niskie ryzyko· EPSS 6%

Podatność w Gitea przed wersją 1.25.5 umożliwia dostęp do danych lub załączników wersji roboczej (draft release) bez wymaganych uprawnień do zapisu.

CVE-2026-27657
Niskie ryzyko· EPSS 6%

Podatność w Gitea przed wersją 1.25.5 umożliwia użytkownikowi zmianę głównego adresu e-mail innego użytkownika.

CVE-2026-26307
Niskie ryzyko· EPSS 7%

Wersje Gitea przed 1.25.5 nie wymuszają limitu czasu na wyszukiwania git grep, co pozwala na kosztowne obliczeniowo zapytania, które mogą przeciążyć serwer.

CVE-2026-26292
Niskie ryzyko· EPSS 7%

Podatność w Gitea przed wersją 1.25.5 polega na tym, że operacje push LFS i synchronizacji mirror nie korzystają z transportu HTTP migracji, co omija skonfigurowane zabezpieczenia transportu migracji dla tych żądań LFS.

CVE-2026-26247
Niskie ryzyko· EPSS 6%

Podatność w Gitea przed wersją 1.25.5 nieprawidłowo przechowuje metodę wyzwania PKCE S256 podczas autoryzacji OAuth2, co umożliwia wymianę tokena bez wymaganego sprawdzenia weryfikatora.

CVE-2026-26232
Niskie ryzyko· EPSS 6%

Podatność w Gitea przed wersją 1.25.5 pozwala na ponowne użycie wygasłych lub jednorazowych kodów autoryzacyjnych OAuth2 podczas wymiany na tokeny. Brak spójnego egzekwowania wygaśnięcia i jednorazowości kodów może prowadzić do nieautoryzowanego dostępu.

CVE-2026-26231
Wysokie

Podatność w Gitea do wersji 1.26.1 włącznie umożliwia użytkownikom z uprawnieniami do odczytu repozytorium, ale bez prawa zapisu, autoryzowanie commitów poprzez funkcję 'Allow edits from maintainers'. Błąd leży w ścieżce uprawnień tej funkcji.

CVE-2026-25782
Niskie ryzyko· EPSS 5%

Podatność w Gitea przed wersją 1.25.5 umożliwia usunięcie wpisu czasu z innego zgłoszenia poprzez brak ograniczenia wyszukiwania do identyfikatora zgłoszenia w żądaniu URL.

CVE-2026-25779
Niskie ryzyko· EPSS 6%

Podatność w Gitea do wersji 1.25.4 włącznie umożliwia obejście mechanizmu przekierowań poprzez użycie surowych lub zakodowanych procentowo ukośników odwrotnych w parametrze redirect_to.

CVE-2026-25718
Niskie ryzyko· EPSS 7%

Podatność w Gitea przed wersją 1.25.5 nieprawidłowo obsługuje rozwiązywanie ścieżek podczas generowania repozytorium z szablonu, co umożliwia przetwarzanie szablonów do odczytu lub zapisu przez dowiązania symboliczne lub inne nieregularne ścieżki.

CVE-2026-25714
Średnie

Podatność w Gitea do wersji 1.26.1 włącznie powoduje niespójne filtrowanie tokenów publicznych w API organizacji użytkownika, co pozostawia niekompletną poprawkę dla CVE-2025-68941.

CVE-2026-25712
Niskie ryzyko· EPSS 5%

W Gitea przed wersją 1.25.5 wykryto niedostateczne sprawdzanie widoczności w interfejsach API uprawnień organizacji, co umożliwia ujawnienie ukrytych członków oraz prywatnych organizacji.

CVE-2026-25038
Niskie ryzyko· EPSS 10%

W Gitea 1.26.2 nieautoryzowani użytkownicy mogą uzyskać dostęp do etykiet prywatnych organizacji. Podatność ta umożliwia wyciek informacji o etykietach, które powinny być dostępne tylko dla członków organizacji.

CVE-2026-24690
Niskie ryzyko· EPSS 5%

Podatność w Gitea przed wersją 1.25.5 wynika z niewystarczającego sprawdzania uprawnień podczas aktualizacji lub przebazowywania gałęzi żądań pull. Umożliwia to nieautoryzowanym użytkownikom modyfikowanie gałęzi bez odpowiednich uprawnień.

CVE-2026-24451
Niskie ryzyko· EPSS 10%

Podatność w Gitea 1.26.2 umożliwia kontynuację synchronizacji forka po zmianie repozytorium nadrzędnego z publicznego na prywatne, co prowadzi do nieautoryzowanego dostępu do danych.

CVE-2026-22874
Krytyczne

Podatność CVE-2026-22874 dotyczy Gitea w wersjach do 1.26.2 włącznie. Mechanizm ochrony przed SSRF (Server-Side Request Forgery) w filtrach list dozwolonych dla webhooków i migracji jest niekompletny, co może pozwolić atakującemu na ominięcie zabezpieczeń.

CVE-2026-22555
Wysokie

Podatność w Gitea przed wersją 1.26.0 umożliwia użytkownikom API forkowanie repozytorium do organizacji bez przejścia kontroli CanCreateOrgRepo, co może ujawnić tajemnice organizacji.

CVE-2026-22547
Niskie ryzyko· EPSS 6%

W Gitea przed wersją 1.25.5 brakuje walidacji ograniczeń dla pól tworzenia repozytorium, w tym pól szablonów z limitem długości oraz wartości modelu zaufania lub formatu obiektu.

PoprzedniaStrona 5 z 4445Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS