Katalog CVE

CVE-2026-20779

WysokieCVSS 7.1
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.48%

Percentyl 38 — wyżej niż 38% wszystkich znanych CVE

Streszczenie

Podatność w Gitea w wersjach od 1.5.0 do 1.26.2 pozwala na wielokrotne użycie tego samego kodu TOTP w procesie uwierzytelniania dwuskładnikowego przez web oraz Basic Auth z nagłówkiem X-Gitea-OTP.

Ocena ryzyka

Atakujący może przechwycić ważny kod TOTP i użyć go wielokrotnie, co umożliwia nieautoryzowany dostęp do kont użytkowników pomimo włączonego uwierzytelniania dwuskładnikowego.

Rekomendacja

Należy niezwłocznie zaktualizować Gitea do wersji 1.26.3 lub nowszej, która usuwa tę podatność.

Oryginalny opis (angielski, źródło NVD)

Gitea versions from 1.5.0 before 1.26.3 have a TOTP single-use enforcement defect that allows a valid TOTP code to be accepted more than once across web two-factor authentication flows and the Basic Auth X-Gitea-OTP path.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS