Katalog CVE
CVE-2026-28744
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzyko0.34%
Percentyl 26 — wyżej niż 26% wszystkich znanych CVE
Streszczenie
Podatność w Gitea do wersji 1.26.1 włącznie umożliwia ominięcie kontroli zakresu tokena repozytorium dla uwierzytelnionych żądań Git smart HTTP z tokenami typu bearer.
Ocena ryzyka
Atakujący z ważnym tokenem bearer może uzyskać nieautoryzowany dostęp do repozytoriów, do których token nie powinien mieć uprawnień, co prowadzi do wycieku danych lub nieautoryzowanych modyfikacji.
Rekomendacja
Należy niezwłocznie zaktualizować Gitea do wersji 1.26.2 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
Gitea versions up to and including 1.26.1 allow Git smart HTTP requests authenticated with bearer tokens to bypass repository token scope checks.

