CVE-2026-27779
Niskie ryzyko· EPSS 6%Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 — wyżej niż 6% wszystkich znanych CVE
Streszczenie
Podatność w Gitea przed wersją 1.25.5 pozwala na akceptowanie nieprawidłowych lub wstrzykniętych wartości forwarded-proto podczas wykrywania publicznych adresów URL, co umożliwia fałszowanie kanonicznych adresów URL.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do generowania fałszywych kanonicznych adresów URL, co może prowadzić do przekierowań użytkowników na złośliwe strony lub naruszenia integralności linków w systemie.
Rekomendacja
Należy natychmiast zaktualizować Gitea do wersji 1.25.5 lub nowszej, która zawiera poprawkę uniemożliwiającą akceptowanie nieprawidłowych wartości forwarded-proto.
Oryginalny opis (angielski, źródło NVD)
Gitea versions before 1.25.5 accept malformed or injected forwarded-proto values when detecting public URLs, allowing spoofed canonical URL generation.

