PT-2022-24262 · Gitea+1 · Gitea+1

Christian Pöschl

·

Publicado

2022-07-28

·

Atualizado

2024-06-10

·

CVE-2022-38183

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Gitea anteriores à 1.16.9
Descrição
O problema está relacionado a controles de acesso inadequados no Gitea, permitindo que um invasor atribua qualquer issue a qualquer projeto. Isso faz com que o invasor obtenha acesso a títulos de issues privados devido à falta de verificações de permissão para a recuperação de issues.
Recomendações
Para versões anteriores à 1.16.9, atualize para a versão 1.16.9 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à atribuição de issues do projeto até que a atualização seja aplicada.

Correção

Incorrect Permission

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-732CWE-862

Identificadores relacionados

ALT-PU-2022-2311
ALT-PU-2022-2358
ALT-PU-2022-3074
BIT-GITEA-2022-38183
CVE-2022-38183
GHSA-FHV8-M4J4-CWW2
GO-2024-2769

Produtos afetados

Alt Linux
Gitea