CVE-2026-27761
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 29 — wyżej niż 29% wszystkich znanych CVE
Streszczenie
Podatność w Gitea do wersji 1.26.2 włącznie umożliwia pominięcie kontroli zakresu tokenów API w punktach końcowych kanałów RSS i Atom repozytorium. Skutkuje to ujawnieniem danych commitów z prywatnych repozytoriów tokenom, które nie mają wymaganego zakresu dostępu do repozytorium.
Ocena ryzyka
Organizacja narażona jest na wyciek poufnych danych z prywatnych repozytoriów, takich jak treści commitów, do nieautoryzowanych tokenów API. Może to prowadzić do naruszenia poufności kodu źródłowego i innych wrażliwych informacji.
Rekomendacja
Należy niezwłocznie zaktualizować Gitea do wersji 1.26.3 lub nowszej, która zawiera poprawkę usuwającą tę podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu do punktów końcowych RSS/Atom dla tokenów API o niskim zakresie uprawnień.
Oryginalny opis (angielski, źródło NVD)
Gitea versions up to and including 1.26.2 allow repository RSS and Atom feed endpoints to bypass API access token scope checks, exposing private repository commit data to tokens without the required repository scope.

