CVE-2026-26232
Niskie ryzyko· EPSS 6%Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Podatność w Gitea przed wersją 1.25.5 pozwala na ponowne użycie wygasłych lub jednorazowych kodów autoryzacyjnych OAuth2 podczas wymiany na tokeny. Brak spójnego egzekwowania wygaśnięcia i jednorazowości kodów może prowadzić do nieautoryzowanego dostępu.
Ocena ryzyka
Atakujący może przechwycić wygasły lub już użyty kod autoryzacyjny i wymienić go na ważny token, uzyskując nieautoryzowany dostęp do kont użytkowników i danych w systemie Gitea.
Rekomendacja
Należy niezwłocznie zaktualizować Gitea do wersji 1.25.5 lub nowszej, która zawiera poprawkę wymuszającą wygaśnięcie i jednorazowość kodów OAuth2.
Oryginalny opis (angielski, źródło NVD)
Gitea versions before 1.25.5 do not consistently enforce OAuth2 authorization code expiry and single-use behavior during token exchange.

