CVE-2026-20897
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 - wyżej niż 33% wszystkich znanych CVE
Streszczenie
Podatność w Gitea umożliwia użytkownikowi z prawem zapisu do repozytorium usunięcie blokad LFS należących do innych repozytoriów. Problem wynika z nieprawidłowej walidacji własności repozytorium podczas usuwania blokad Git LFS.
Ocena ryzyka
Atakujący może zakłócić działanie procesów CI/CD lub spowodować utratę danych w innych repozytoriach poprzez nieautoryzowane usunięcie blokad LFS.
Rekomendacja
Zaleca się natychmiastową aktualizację Gitea do wersji zawierającej poprawkę walidacji własności repozytorium przy usuwaniu blokad LFS.
Oryginalny opis (angielski, źródło NVD)
Gitea does not properly validate repository ownership when deleting Git LFS locks. A user with write access to one repository may be able to delete LFS locks belonging to other repositories.

