CRITICAL🇬🇧 English

CVE-2026-20897

Gitea: nieautoryzowane usuwanie blokad Git LFS między repozytoriami

CVSS 9.1v3.1pub. 2026-01-22upd. 2026-06-27

Gitea nieprawidłowo weryfikuje właściciela repozytorium podczas usuwania blokad Git LFS (Large File Storage). Podatność umożliwia użytkownikowi posiadającemu uprawnienia zapisu do jednego repozytorium usuwanie blokad LFS należących do innych repozytoriów.

Pokaż oryginał (EN)

Gitea does not properly validate repository ownership when deleting Git LFS locks. A user with write access to one repository may be able to delete LFS locks belonging to other repositories.

🤖 Analiza AI
Jak działa

Błąd wynika z nieprawidłowej kontroli dostępu (CWE-284) oraz niewystarczającej walidacji identyfikatorów obiektów (CWE-639). Podczas operacji usuwania blokady Git LFS aplikacja nie sprawdza poprawnie, czy dana blokada faktycznie należy do repozytorium, w kontekście którego działa żądający użytkownik. W efekcie uwierzytelniony użytkownik z uprawnieniami zapisu do dowolnego repozytorium może skonstruować odpowiednie żądanie i usunąć blokadę LFS z innego, niezwiązanego repozytorium.

Skutki

Atakujący może usuwać blokady Git LFS w repozytoriach, do których nie powinien mieć dostępu, co prowadzi do naruszenia integralności procesu zarządzania plikami LFS oraz potencjalnego zakłócenia pracy innych użytkowników i zespołów korzystających z dotkniętych repozytoriów.

Mitygacja

Należy zaktualizować Gitea do wersji 1.25.4 lub nowszej, która zawiera poprawki opisane w pull requestach #36344 i #36349. Szczegóły dostępne w oficjalnym komunikacie producenta pod adresem https://blog.gitea.com/release-of-1.25.4/

Kogo dotyczy

Gitea w wersjach poprzedzających 1.25.4 (na podstawie referencji producenta)

Uwagi

Poprawka dostępna w wersji 1.25.4, udostępnionej pod tagiem v1.25.4 w repozytorium GitHub. Szczegóły podatności opublikowano w security advisory GHSA-rrq5-r9h5-pc7c.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Gitea

    APP
    Gitea
    < 1.25.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-20912CRITICAL9.1PL ✓ten sam produkt

Gitea: nieautoryzowany dostęp do załączników z prywatnych repozytoriów

CVE-2026-20750CRITICAL9.1PL ✓ten sam produkt

Gitea: nieprawidłowa walidacja własności projektów organizacji

CVE-2022-42968CRITICAL9.8ten sam produkt

Gitea before 1.17.3 does not sanitize and escape refs in the git backend. Arguments to git commands are mishan...

CVE-2021-45330CRITICAL9.8ten sam produkt

An issue exsits in Gitea through 1.15.7, which could let a malicious user gain privileges due to client side c...

CVE-2021-45331CRITICAL9.8ten sam produkt

An Authentication Bypass vulnerability exists in Gitea before 1.5.0, which could let a malicious user gain pri...

CVE-2026-20897 — Gitea: nieautoryzowane usuwanie blokad Git LFS między repozytoriami — CRITICAL 9.1 | CVEbaza.pl