CVE-2026-20912
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 33 - wyżej niż 33% wszystkich znanych CVE
Streszczenie
Podatność w Gitea umożliwia nieprawidłowe powiązanie załączników z wydaniami (releases) z powodu braku walidacji własności repozytorium. Załącznik przesłany do prywatnego repozytorium może zostać powiązany z wydaniem w innym, publicznym repozytorium, co prowadzi do nieautoryzowanego dostępu.
Ocena ryzyka
Ryzyko polega na wycieku danych z prywatnych repozytoriów do publicznych, co może narazić organizację na ujawnienie poufnych informacji osobom nieuprawnionym.
Rekomendacja
Należy zaktualizować Gitea do najnowszej wersji, która zawiera poprawkę walidacji własności repozytorium podczas łączenia załączników z wydaniami.
Oryginalny opis (angielski, źródło NVD)
Gitea does not properly validate repository ownership when linking attachments to releases. An attachment uploaded to a private repository could potentially be linked to a release in a different public repository, making it accessible to unauthorized users.

