Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-28705
Niskie ryzyko· EPSS 8%

Podatność w Gitea przed wersją 1.25.5 pozwala na manipulację ścieżkami plików podczas zrzutu zasobów wydania poprzez specjalnie spreparowane nazwy tagów i zasobów.

CVE-2026-28699
Wysokie

Podatność w Gitea do wersji 1.26.1 włącznie umożliwia ominięcie egzekwowania zakresu tokena dostępu OAuth2 poprzez uwierzytelnianie HTTP Basic.

CVE-2026-27783
Średnie

Podatność w Gitea do wersji 1.26.1 włącznie nie wymusza autoryzacji jednostek repozytorium na punktach końcowych API szablonów zgłoszeń. Oznacza to, że nieautoryzowani użytkownicy mogą uzyskać dostęp do wrażliwych danych lub funkcji związanych z szablonami zgłoszeń.

CVE-2026-27780
Niskie ryzyko· EPSS 7%

Podatność w Gitea przed wersją 1.26.0 polega na tym, że system nie zamyka bezpiecznie połączenia w przypadku błędów skanera bufio.Scanner podczas przetwarzania danych wejściowych haka pre-receive. Umożliwia to obejście kontroli ochrony gałęzi poprzez przesłanie zbyt dużego wejścia.

CVE-2026-27779
Niskie ryzyko· EPSS 6%

Podatność w Gitea przed wersją 1.25.5 pozwala na akceptowanie nieprawidłowych lub wstrzykniętych wartości forwarded-proto podczas wykrywania publicznych adresów URL, co umożliwia fałszowanie kanonicznych adresów URL.

CVE-2026-27775
Niskie ryzyko· EPSS 10%

W Gitea 1.25.5 wyniki sprawdzania uprawnień do zapisu dla konkretnej gałęzi są buforowane w ramach jednej sesji haka pre-receive. Pozwala to na ponowne wykorzystanie przyznanego dostępu edycyjnego dla opiekuna gałęzi do innych referencji, co prowadzi do eskalacji uprawnień do pełnego zapisu w repozytorium.

CVE-2026-27771
WysokieEPSS 98%

Podatność w Gitea do wersji 1.26.1 włącznie wynika z niewystarczających kontroli uprawnień dla linków źródłowych pakietów Composer. Może to prowadzić do ujawnienia informacji o prywatnych lub wewnętrznych źródłach pakietów.

CVE-2026-27761
Średnie

Podatność w Gitea do wersji 1.26.2 włącznie umożliwia pominięcie kontroli zakresu tokenów API w punktach końcowych kanałów RSS i Atom repozytorium. Skutkuje to ujawnieniem danych commitów z prywatnych repozytoriów tokenom, które nie mają wymaganego zakresu dostępu do repozytorium.

CVE-2026-27660
Niskie ryzyko· EPSS 6%

Podatność w Gitea przed wersją 1.25.5 umożliwia dostęp do danych lub załączników wersji roboczej (draft release) bez wymaganych uprawnień do zapisu.

CVE-2026-27657
Niskie ryzyko· EPSS 6%

Podatność w Gitea przed wersją 1.25.5 umożliwia użytkownikowi zmianę głównego adresu e-mail innego użytkownika.

CVE-2026-26307
Niskie ryzyko· EPSS 7%

Wersje Gitea przed 1.25.5 nie wymuszają limitu czasu na wyszukiwania git grep, co pozwala na kosztowne obliczeniowo zapytania, które mogą przeciążyć serwer.

CVE-2026-26292
Niskie ryzyko· EPSS 7%

Podatność w Gitea przed wersją 1.25.5 polega na tym, że operacje push LFS i synchronizacji mirror nie korzystają z transportu HTTP migracji, co omija skonfigurowane zabezpieczenia transportu migracji dla tych żądań LFS.

CVE-2026-26247
Niskie ryzyko· EPSS 6%

Podatność w Gitea przed wersją 1.25.5 nieprawidłowo przechowuje metodę wyzwania PKCE S256 podczas autoryzacji OAuth2, co umożliwia wymianę tokena bez wymaganego sprawdzenia weryfikatora.

CVE-2026-26232
Niskie ryzyko· EPSS 6%

Podatność w Gitea przed wersją 1.25.5 pozwala na ponowne użycie wygasłych lub jednorazowych kodów autoryzacyjnych OAuth2 podczas wymiany na tokeny. Brak spójnego egzekwowania wygaśnięcia i jednorazowości kodów może prowadzić do nieautoryzowanego dostępu.

CVE-2026-26231
Wysokie

Podatność w Gitea do wersji 1.26.1 włącznie umożliwia użytkownikom z uprawnieniami do odczytu repozytorium, ale bez prawa zapisu, autoryzowanie commitów poprzez funkcję 'Allow edits from maintainers'. Błąd leży w ścieżce uprawnień tej funkcji.

CVE-2026-25782
Niskie ryzyko· EPSS 5%

Podatność w Gitea przed wersją 1.25.5 umożliwia usunięcie wpisu czasu z innego zgłoszenia poprzez brak ograniczenia wyszukiwania do identyfikatora zgłoszenia w żądaniu URL.

CVE-2026-25779
Niskie ryzyko· EPSS 6%

Podatność w Gitea do wersji 1.25.4 włącznie umożliwia obejście mechanizmu przekierowań poprzez użycie surowych lub zakodowanych procentowo ukośników odwrotnych w parametrze redirect_to.

CVE-2026-25718
Niskie ryzyko· EPSS 7%

Podatność w Gitea przed wersją 1.25.5 nieprawidłowo obsługuje rozwiązywanie ścieżek podczas generowania repozytorium z szablonu, co umożliwia przetwarzanie szablonów do odczytu lub zapisu przez dowiązania symboliczne lub inne nieregularne ścieżki.

CVE-2026-25714
Średnie

Podatność w Gitea do wersji 1.26.1 włącznie powoduje niespójne filtrowanie tokenów publicznych w API organizacji użytkownika, co pozostawia niekompletną poprawkę dla CVE-2025-68941.

CVE-2026-25712
Niskie ryzyko· EPSS 5%

W Gitea przed wersją 1.25.5 wykryto niedostateczne sprawdzanie widoczności w interfejsach API uprawnień organizacji, co umożliwia ujawnienie ukrytych członków oraz prywatnych organizacji.

PoprzedniaStrona 5 z 4416Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS