Katalog CVE

CVE-2026-26247

Niskie ryzyko· EPSS 6%
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 6 — wyżej niż 6% wszystkich znanych CVE

Streszczenie

Podatność w Gitea przed wersją 1.25.5 nieprawidłowo przechowuje metodę wyzwania PKCE S256 podczas autoryzacji OAuth2, co umożliwia wymianę tokena bez wymaganego sprawdzenia weryfikatora.

Ocena ryzyka

Atakujący może wykorzystać tę lukę do uzyskania nieautoryzowanego dostępu do tokenów OAuth2, co może prowadzić do przejęcia kont użytkowników i dostępu do chronionych zasobów.

Rekomendacja

Należy niezwłocznie zaktualizować Gitea do wersji 1.25.5 lub nowszej, która zawiera poprawkę dla tej podatności.

Oryginalny opis (angielski, źródło NVD)

Gitea versions before 1.25.5 do not persist the OAuth2 PKCE S256 challenge method correctly during authorization, allowing token exchange without the expected verifier check.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS