CVE-2026-27780
Niskie ryzyko· EPSS 7%Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
Podatność w Gitea przed wersją 1.26.0 polega na tym, że system nie zamyka bezpiecznie połączenia w przypadku błędów skanera bufio.Scanner podczas przetwarzania danych wejściowych haka pre-receive. Umożliwia to obejście kontroli ochrony gałęzi poprzez przesłanie zbyt dużego wejścia.
Ocena ryzyka
Atakujący może ominąć zabezpieczenia gałęzi, co może prowadzić do nieautoryzowanych zmian w repozytorium, naruszenia integralności kodu i potencjalnego wstrzyknięcia złośliwego kodu.
Rekomendacja
Należy natychmiast zaktualizować Gitea do wersji 1.26.0 lub nowszej, która zawiera poprawkę zamykającą połączenie w przypadku błędów skanera.
Oryginalny opis (angielski, źródło NVD)
Gitea versions before 1.26.0 do not fail closed on bufio.Scanner errors while processing pre-receive hook input, allowing oversized input to bypass branch-protection checks.

