Katalog CVE

CVE-2026-20912

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.42%

Percentyl 33 - wyżej niż 33% wszystkich znanych CVE

Streszczenie

Podatność w Gitea umożliwia nieprawidłowe powiązanie załączników z wydaniami (releases) z powodu braku walidacji własności repozytorium. Załącznik przesłany do prywatnego repozytorium może zostać powiązany z wydaniem w innym, publicznym repozytorium, co prowadzi do nieautoryzowanego dostępu.

Ocena ryzyka

Ryzyko polega na wycieku danych z prywatnych repozytoriów do publicznych, co może narazić organizację na ujawnienie poufnych informacji osobom nieuprawnionym.

Rekomendacja

Należy zaktualizować Gitea do najnowszej wersji, która zawiera poprawkę walidacji własności repozytorium podczas łączenia załączników z wydaniami.

Oryginalny opis (angielski, źródło NVD)

Gitea does not properly validate repository ownership when linking attachments to releases. An attachment uploaded to a private repository could potentially be linked to a release in a different public repository, making it accessible to unauthorized users.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS