Katalog CVE

CVE-2026-2725

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 - wyżej niż 2% wszystkich znanych CVE

Streszczenie

Podatność w mechanizmie 'submitted together' w Gerrit od wersji 2.12 umożliwia uwierzytelnionemu atakującemu z uprawnieniami force push na drugorzędnej gałęzi ominięcie przeglądu kodu i wymuszenie zatwierdzenia kodu w zastrzeżonych gałęziach poprzez spreparowane zgłoszenie pasujące do tematu niezatwierdzonej zmiany.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowane wdrożenie kodu do chronionych gałęzi, co może prowadzić do naruszenia integralności repozytorium, wprowadzenia złośliwego kodu lub destabilizacji systemu produkcyjnego.

Rekomendacja

Należy natychmiast zaktualizować Gerrit do wersji zawierającej poprawkę oraz przejrzeć i ograniczyć uprawnienia force push dla użytkowników na gałęziach drugorzędnych.

Oryginalny opis (angielski, źródło NVD)

Incorrect authorization in the "submitted together" feature in Gerrit versions 2.12 and later allows an authenticated attacker with force push permissions on a secondary branch to bypass code review and forcefully submit code to restricted branches via a crafted submission matching the "topic" tag of an unapproved change.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS