目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2026-27761— Gitea 仓库动态流绕过 API Token 范围限制

CVSS 4.3 · Medium EPSS 0.37% · P29

Possible ATT&CK Techniques 1AI

T1530 · Data from Cloud Storage

Affected Version Matrix 1

ベンダープロダクトVersion Rangeステータス
GiteaGitea Open Source Git Server≤ 1.26.2affected
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-27761の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Gitea repository feeds bypass API token scope enforcement
ソース: NVD (National Vulnerability Database)
脆弱性説明
Gitea versions up to and including 1.26.2 allow repository RSS and Atom feed endpoints to bypass API access token scope checks, exposing private repository commit data to tokens without the required repository scope.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
授权机制不正确
ソース: NVD (National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
GiteaGitea Open Source Git Server 0 ~ 1.26.2 -

II. CVE-2026-27761の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-27761のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-27761 补丁与修复 (1)

CVE-2026-27761 厂商安全公告 (1)

CVE-2026-27761 安全博客文章 (1)

CVE-2026-27761 厂商页面 (1)

Same Patch Batch · Gitea · 2026-07-03 · 40 CVEs total

CVE-2026-208969.8 CRITICALGitea Docker image trusts spoofable reverse-proxy headers by default
CVE-2026-584269.6 CRITICALGitea Actions Artifacts V4 signed URL HMAC ambiguity allows cross-repository artifact read
CVE-2026-228749.6 CRITICALGitea webhook and migration allow-list filtering permits SSRF
CVE-2026-584248.9 HIGHPermanent Fork PR Workflow Approval Gate Bypass
CVE-2026-287378.7 HIGHGitea 3D file viewer allows stored XSS through glTF extensionsRequired
CVE-2026-262318.5 HIGHGitea maintainer-edit permissions allow unauthorized commits to readable repositories
CVE-2026-286998.1 HIGHGitea Basic Auth bypasses OAuth2 access token scopes
CVE-2026-287448.1 HIGHGitea Git smart HTTP bypasses repository token scopes for bearer tokens
CVE-2026-225558.1 HIGHGitea organization forks can expose organization secrets without create permission
CVE-2026-584237.7 HIGHLFS authentication bypass via malformed SSH sub-verb allows unauthorized read access to pr
CVE-2026-287407.1 HIGHGitea LFS object reuse bypasses Code-unit authorization
CVE-2026-207797.1 HIGHGitea TOTP single-use enforcement defect allows OTP replay
CVE-2026-584186.5 MEDIUMSSRF via HTTP Redirect in Repository Migration
CVE-2026-277834.3 MEDIUMGitea issue-template APIs bypass repository unit authorization
CVE-2026-257144.3 MEDIUMGitea user organization API bypasses public-only token filtering
CVE-2026-20706Gitea repository archive downloads bypass token scope checks
CVE-2026-20909Gitea tracked-time list endpoint has insufficient permission checks
CVE-2026-58421Unauthenticated ReDoS via CODEOWNERS pattern matching allows denial of service
CVE-2026-58419Notification API leaks private issue metadata after access revocation
CVE-2026-28705Gitea repository dumps write release assets using unsafe path names

Showing 20 of 40 CVEs. View all on vendor page →

IV. 関連脆弱性

V. CVE-2026-27761へのコメント

まだコメントはありません


コメントを残す