Katalog CVE

CVE-2026-26232

Niskie ryzyko· EPSS 6%
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

Podatność w Gitea przed wersją 1.25.5 pozwala na ponowne użycie wygasłych lub jednorazowych kodów autoryzacyjnych OAuth2 podczas wymiany na tokeny. Brak spójnego egzekwowania wygaśnięcia i jednorazowości kodów może prowadzić do nieautoryzowanego dostępu.

Ocena ryzyka

Atakujący może przechwycić wygasły lub już użyty kod autoryzacyjny i wymienić go na ważny token, uzyskując nieautoryzowany dostęp do kont użytkowników i danych w systemie Gitea.

Rekomendacja

Należy niezwłocznie zaktualizować Gitea do wersji 1.25.5 lub nowszej, która zawiera poprawkę wymuszającą wygaśnięcie i jednorazowość kodów OAuth2.

Oryginalny opis (angielski, źródło NVD)

Gitea versions before 1.25.5 do not consistently enforce OAuth2 authorization code expiry and single-use behavior during token exchange.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS