CVE-2026-58426
KrytyczneCVSS 9.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
Podatność w Gitea Actions Artifacts V4 wynika z niejednoznaczności HMAC w podpisanych URL-ach, co umożliwia odczyt artefaktów z innego repozytorium oraz zapis stanu przesyłania między zadaniami.
Ocena ryzyka
Atakujący może uzyskać dostęp do poufnych danych przechowywanych jako artefakty w innych repozytoriach lub manipulować stanem przesyłania, co prowadzi do naruszenia integralności i poufności danych.
Rekomendacja
Zaleca się natychmiastową aktualizację Gitea do wersji zawierającej poprawkę usuwającą niejednoznaczność HMAC w podpisanych URL-ach oraz wdrożenie mechanizmów weryfikacji dostępu do artefaktów.
Oryginalny opis (angielski, źródło NVD)
Gitea Actions Artifacts V4 signed URL HMAC ambiguity allows cross-repository artifact read and cross-task upload-state write

