Gitea opravuje 2 zraniteľnoti

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] Gitea opravuje 2 zraniteľnoti

Gitea (open-source self-hosted Git služba na správu repozitárov) vo verzii 1.26.3 opravuje 2 zraniteľnosti [1][2].

Gitea - authentication bypass (CVE-2026-20896)

CVSS 9.8 (Critical)

Neautentizovanému vzdialenému útočníkovi je v dôsledku nesprávnej predvolenej konfigurácie reverzného proxy v oficiálnych Docker kontajneroch umožnené prostredníctvom podvrhnutej HTTP hlavičky vydávať sa za ľubovoľného používateľa vrátane administrátora [1].

Zraniteľnosť sa nachádza v produkte Gitea (Docker image) vo verziách <=1.26.2.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Viac informácií:

CVE-2026-20896 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-290: Authentication Bypass by Spoofing at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 20. 6. 2026.

Gitea - SSRF (CVE-2026-22874)

Autentizovanému vzdialenému útočníkovi je v dôsledku nedostatočného filtrovania cieľových adries vo funkcii webhookov a migrácií umožnené odosielať požiadavky na interné sieťové adresy [1]. V čase písania ešte nebolo pre túto zraniteľnosť zverejnené hodnotenie závažnosti CVSS.

Zraniteľnosť sa nachádza v produkte Gitea vo verziách <=1.26.2.