Pubblicato il 2026-07-03 · Fonte: NVD NIST
La vulnerabilità CVE-2026-22555 colpisce le versioni di Gitea precedenti alla 1.26.0, consentendo agli utenti API di forkare un repository in un'organizzazione senza superare il controllo CanCreateOrgRepo. Ciò può esporre segreti organizzativi. La CVSS Score è di 8.1, classificata come alta. Non ci sono informazioni sui vendor o prodotti specifici coinvolti. La CWE-284 è la categoria di vulnerabilità associata.
Un attaccante potrebbe sfruttare questa vulnerabilità per accedere a informazioni sensibili all'interno di un'organizzazione, esponendo così i sistemi e i dati a rischio. La mancanza del controllo CanCreateOrgRepo consente agli utenti di creare repository all'interno di un'organizzazione senza le autorizzazioni necessarie, potenzialmente portando a violazioni della sicurezza.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare Gitea alla versione 1.26.0 o successiva. In assenza di informazioni specifiche su patch o workaround, è fondamentale mantenere le versioni dei software aggiornate e applicare le migliori pratiche di sicurezza, come il controllo degli accessi e la monitorazione delle attività sospette.
La causa è la mancanza del controllo CanCreateOrgRepo per gli utenti API di Gitea, che consente di forkare repository in un'organizzazione senza autorizzazione.
La vulnerabilità CVE-2026-22555 ha un CVSS Score di 8.1, classificata come alta.
Aggiornare Gitea alla versione 1.26.0 o successiva e applicare le migliori pratiche di sicurezza per prevenire abusi di autorizzazioni.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.