Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Podatność w Gitea do wersji 1.26.1 włącznie wynika z niewystarczających kontroli uprawnień dla linków źródłowych pakietów Composer. Może to prowadzić do ujawnienia informacji o prywatnych lub wewnętrznych źródłach pakietów.
Podatność w Gitea do wersji 1.26.2 włącznie umożliwia pominięcie kontroli zakresu tokenów API w punktach końcowych kanałów RSS i Atom repozytorium. Skutkuje to ujawnieniem danych commitów z prywatnych repozytoriów tokenom, które nie mają wymaganego zakresu dostępu do repozytorium.
Podatność w Gitea przed wersją 1.25.5 umożliwia dostęp do danych lub załączników wersji roboczej (draft release) bez wymaganych uprawnień do zapisu.
Podatność w Gitea przed wersją 1.25.5 umożliwia użytkownikowi zmianę głównego adresu e-mail innego użytkownika.
Wersje Gitea przed 1.25.5 nie wymuszają limitu czasu na wyszukiwania git grep, co pozwala na kosztowne obliczeniowo zapytania, które mogą przeciążyć serwer.
Podatność w Gitea przed wersją 1.25.5 polega na tym, że operacje push LFS i synchronizacji mirror nie korzystają z transportu HTTP migracji, co omija skonfigurowane zabezpieczenia transportu migracji dla tych żądań LFS.
Podatność w Gitea przed wersją 1.25.5 nieprawidłowo przechowuje metodę wyzwania PKCE S256 podczas autoryzacji OAuth2, co umożliwia wymianę tokena bez wymaganego sprawdzenia weryfikatora.
Podatność w Gitea przed wersją 1.25.5 pozwala na ponowne użycie wygasłych lub jednorazowych kodów autoryzacyjnych OAuth2 podczas wymiany na tokeny. Brak spójnego egzekwowania wygaśnięcia i jednorazowości kodów może prowadzić do nieautoryzowanego dostępu.
Podatność w Gitea do wersji 1.26.1 włącznie umożliwia użytkownikom z uprawnieniami do odczytu repozytorium, ale bez prawa zapisu, autoryzowanie commitów poprzez funkcję 'Allow edits from maintainers'. Błąd leży w ścieżce uprawnień tej funkcji.
Podatność w Gitea przed wersją 1.25.5 umożliwia usunięcie wpisu czasu z innego zgłoszenia poprzez brak ograniczenia wyszukiwania do identyfikatora zgłoszenia w żądaniu URL.
Podatność w Gitea do wersji 1.25.4 włącznie umożliwia obejście mechanizmu przekierowań poprzez użycie surowych lub zakodowanych procentowo ukośników odwrotnych w parametrze redirect_to.
Podatność w Gitea przed wersją 1.25.5 nieprawidłowo obsługuje rozwiązywanie ścieżek podczas generowania repozytorium z szablonu, co umożliwia przetwarzanie szablonów do odczytu lub zapisu przez dowiązania symboliczne lub inne nieregularne ścieżki.
Podatność w Gitea do wersji 1.26.1 włącznie powoduje niespójne filtrowanie tokenów publicznych w API organizacji użytkownika, co pozostawia niekompletną poprawkę dla CVE-2025-68941.
W Gitea przed wersją 1.25.5 wykryto niedostateczne sprawdzanie widoczności w interfejsach API uprawnień organizacji, co umożliwia ujawnienie ukrytych członków oraz prywatnych organizacji.
W Gitea 1.26.2 nieautoryzowani użytkownicy mogą uzyskać dostęp do etykiet prywatnych organizacji. Podatność ta umożliwia wyciek informacji o etykietach, które powinny być dostępne tylko dla członków organizacji.
Podatność w Gitea przed wersją 1.25.5 wynika z niewystarczającego sprawdzania uprawnień podczas aktualizacji lub przebazowywania gałęzi żądań pull. Umożliwia to nieautoryzowanym użytkownikom modyfikowanie gałęzi bez odpowiednich uprawnień.
Podatność w Gitea 1.26.2 umożliwia kontynuację synchronizacji forka po zmianie repozytorium nadrzędnego z publicznego na prywatne, co prowadzi do nieautoryzowanego dostępu do danych.
Podatność CVE-2026-22874 dotyczy Gitea w wersjach do 1.26.2 włącznie. Mechanizm ochrony przed SSRF (Server-Side Request Forgery) w filtrach list dozwolonych dla webhooków i migracji jest niekompletny, co może pozwolić atakującemu na ominięcie zabezpieczeń.
Podatność w Gitea przed wersją 1.26.0 umożliwia użytkownikom API forkowanie repozytorium do organizacji bez przejścia kontroli CanCreateOrgRepo, co może ujawnić tajemnice organizacji.
W Gitea przed wersją 1.25.5 brakuje walidacji ograniczeń dla pól tworzenia repozytorium, w tym pól szablonów z limitem długości oraz wartości modelu zaufania lub formatu obiektu.

