Katalog CVE
CVE-2026-28737
WysokieCVSS 8.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzyko0.34%
Percentyl 26 — wyżej niż 26% wszystkich znanych CVE
Streszczenie
Podatność w Gitea umożliwia przechowywany atak XSS przez pole extensionsRequired w plikach glTF renderowanych przez przeglądarkę 3D. Dotyczy wersji od 1.25.0 do 1.26.0.
Ocena ryzyka
Atakujący może wstrzyknąć złośliwy skrypt, który wykona się w przeglądarce ofiary, prowadząc do kradzieży sesji, modyfikacji repozytoriów lub kradzieży danych.
Rekomendacja
Zaleca się natychmiastową aktualizację Gitea do wersji 1.26.0 lub nowszej, która zawiera poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
Gitea versions from 1.25.0 before 1.26.0 allow stored cross-site scripting through the extensionsRequired field in glTF files rendered by the 3D file viewer.

