Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2026-28737
CVSS 8.7 — ALTO

CVE-2026-28737: Vulnerabilità XSS in Gitea

Pubblicato il 2026-07-03 · Fonte: NVD NIST

CVE ID
CVE-2026-28737
CVSS Score
8.7
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

Riassunto tecnico

La vulnerabilità CVE-2026-28737 colpisce le versioni di Gitea da 1.25.0 a 1.26.0, permettendo attacchi di cross-site scripting (XSS) attraverso il campo extensionsRequired in file glTF visualizzati dal visualizzatore di file 3D. Questa vulnerabilità è classificata come CWE-79 e ha un punteggio CVSS di 8.7, indicando un impatto alto. Non ci sono informazioni sul fatto che sia attivamente sfruttata.

Impatto

Un attaccante potrebbe sfruttare questa vulnerabilità per eseguire codice malevolo sul browser dell'utente, rubando informazioni sensibili o prendendo il controllo della sessione. I sistemi a rischio sono quelli che utilizzano Gitea nelle versioni interessate dalla vulnerabilità, in particolare quelli che visualizzano file glTF tramite il visualizzatore di file 3D.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per mitigare questa vulnerabilità, si consiglia di aggiornare Gitea alla versione 1.26.0 o successiva. Se l'aggiornamento non è immediatamente possibile, si possono adottare misure di workaround come disabilitare il visualizzatore di file 3D o limitare l'accesso ai file glTF. In generale, è importante mantenere il software aggiornato e applicare patch di sicurezza non appena disponibili.

FAQ — Domande frequenti

Che cos'è la vulnerabilità CVE-2026-28737?

La vulnerabilità CVE-2026-28737 è una vulnerabilità di cross-site scripting (XSS) in Gitea che consente attacchi tramite file glTF

Qual è l'impatto della vulnerabilità?

L'impatto della vulnerabilità è alto, con un punteggio CVSS di 8.7, e potrebbe permettere attacchi di cross-site scripting

Come proteggersi da CVE-2026-28737?

Per proteggersi, si consiglia di aggiornare Gitea alla versione 1.26.0 o successiva e adottare misure di workaround come disabilitare il visualizzatore di file 3D

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.