Katalog CVE

CVE-2026-25782

Niskie ryzyko· EPSS 5%
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.16%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Podatność w Gitea przed wersją 1.25.5 umożliwia usunięcie wpisu czasu z innego zgłoszenia poprzez brak ograniczenia wyszukiwania do identyfikatora zgłoszenia w żądaniu URL.

Ocena ryzyka

Atakujący może usunąć wpisy czasu z dowolnego zgłoszenia, co prowadzi do utraty danych i zakłócenia śledzenia czasu w organizacji.

Rekomendacja

Zaleca się natychmiastową aktualizację Gitea do wersji 1.25.5 lub nowszej, która zawiera poprawkę ograniczającą wyszukiwanie wpisów czasu do konkretnego zgłoszenia.

Oryginalny opis (angielski, źródło NVD)

Gitea versions before 1.25.5 look up tracked-time entries by time ID without scoping the lookup to the issue in the request URL, allowing deletion attempts to target entries from another issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS