Katalog CVE

CVE-2026-27775

Niskie ryzyko· EPSS 10%
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

W Gitea 1.25.5 wyniki sprawdzania uprawnień do zapisu dla konkretnej gałęzi są buforowane w ramach jednej sesji haka pre-receive. Pozwala to na ponowne wykorzystanie przyznanego dostępu edycyjnego dla opiekuna gałęzi do innych referencji, co prowadzi do eskalacji uprawnień do pełnego zapisu w repozytorium.

Ocena ryzyka

Organizacja narażona jest na nieautoryzowane modyfikacje repozytoriów przez użytkowników, którzy powinni mieć ograniczone uprawnienia tylko do wybranych gałęzi. Może to skutkować naruszeniem integralności kodu i niekontrolowanymi zmianami.

Rekomendacja

Należy natychmiast zaktualizować Gitea do wersji, w której usunięto tę podatność, oraz przejrzeć logi dostępu w poszukiwaniu śladów nadużyć.

Oryginalny opis (angielski, źródło NVD)

Gitea 1.25.5 caches a branch-specific write-permission result across multiple refs in one pre-receive hook session, allowing a per-branch maintainer-edit grant to be reused for other refs and escalate to full repository write access.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS