Pubblicato il 2026-07-03 · Fonte: NVD NIST
La vulnerabilità CVE-2026-28737 colpisce le versioni di Gitea da 1.25.0 a 1.26.0, permettendo attacchi di cross-site scripting (XSS) attraverso il campo extensionsRequired in file glTF visualizzati dal visualizzatore di file 3D. Questa vulnerabilità è classificata come CWE-79 e ha un punteggio CVSS di 8.7, indicando un impatto alto. Non ci sono informazioni sul fatto che sia attivamente sfruttata.
Un attaccante potrebbe sfruttare questa vulnerabilità per eseguire codice malevolo sul browser dell'utente, rubando informazioni sensibili o prendendo il controllo della sessione. I sistemi a rischio sono quelli che utilizzano Gitea nelle versioni interessate dalla vulnerabilità, in particolare quelli che visualizzano file glTF tramite il visualizzatore di file 3D.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare Gitea alla versione 1.26.0 o successiva. Se l'aggiornamento non è immediatamente possibile, si possono adottare misure di workaround come disabilitare il visualizzatore di file 3D o limitare l'accesso ai file glTF. In generale, è importante mantenere il software aggiornato e applicare patch di sicurezza non appena disponibili.
La vulnerabilità CVE-2026-28737 è una vulnerabilità di cross-site scripting (XSS) in Gitea che consente attacchi tramite file glTF
L'impatto della vulnerabilità è alto, con un punteggio CVSS di 8.7, e potrebbe permettere attacchi di cross-site scripting
Per proteggersi, si consiglia di aggiornare Gitea alla versione 1.26.0 o successiva e adottare misure di workaround come disabilitare il visualizzatore di file 3D
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.