CVE-2026-27771: Недостатня перевірка дозволів у Gitea до версії 1.26.1

Вразливість у Gitea до 1.26.1 дозволяє отримати доступ до приватних джерел пакетів Composer. Рекомендується оновлення та обмеження доступу.
CVE-2026-27771CVSS 8.2General

CVE-2026-27771: Недостатня перевірка дозволів у Gitea до версії 1.26.1

Вразливість у Gitea до 1.26.1 дозволяє отримати доступ до приватних джерел пакетів Composer. Рекомендується оновлення та обмеження доступу.

CVSS
8.2 HIGH
EPSS
98.48%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У Gitea версій до 1.26.1 включно виявлено недостатню перевірку дозволів для посилань на джерела пакетів Composer, що може призвести до розкриття приватної або внутрішньої інформації про пакети.

Бізнес-вплив

Ця вразливість може дозволити неавторизованим користувачам отримати доступ до конфіденційної інформації про внутрішні або приватні пакети, що підвищує ризик витоку даних і потенційних атак на інфраструктуру розробки. Для організацій, які використовують Gitea для керування пакетами, це створює загрозу безпеці їхнього програмного забезпечення та інтелектуальної власності.

Рекомендовані дії адміністратора

Рекомендується перевірити наявність оновлень від розробника Gitea та застосувати останні патчі, які усувають цю вразливість. Якщо оновлення недоступні, слід обмежити доступ до посилань на джерела пакетів Composer, переглянути журнали доступу на предмет підозрілої активності та пріоритезувати заходи безпеки для захисту внутрішніх ресурсів.

Джерела

Безпекові сповіщення

Отримуйте CVE-сповіщення до того, як вони стануть інцидентом

Надсилаємо вибрані інфраструктурні загрози українською з практичними нотатками для середовищ DataHouse.

  • DataHouse: адміністрування серверів і безпечна хмара
  • Hostilla.pl: хостинг і поштові послуги
  • SecDNS.pl: безплатний рівень DNS-безпеки