PT-2026-36652 · Go+1 · Code.Gitea.Io/Gitea+4

Publicado

2026-04-22

·

Atualizado

2026-05-29

CVSS v4.0

6.3

Média

VetorAV:N/AC:H/AT:P/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Gitea (versões afetadas não especificadas)
Description O servidor SSH integrado utiliza configurações padrão que anunciam algoritmos de troca de chaves, MAC e chaves de host considerados fracos ou quebrados. Especificamente, o servidor suporta os algoritmos de troca de chaves ecdh-sha2-nistp256, ecdh-sha2-nistp384 e ecdh-sha2-nistp521, o algoritmo MAC hmac-sha1 e o algoritmo de chave de host ssh-rsa.
Recommendations Como medida paliativa temporária, configure as seguintes variáveis na seção [server] do arquivo de configuração:
  • Defina SSH SERVER KEY EXCHANGES como curve25519-sha256, diffie-hellman-group14-sha256.
  • Defina SSH SERVER CIPHERS como chacha20-poly1305@openssh.com, aes128-ctr, aes192-ctr, aes256-ctr, aes128-gcm@openssh.com, aes256-gcm@openssh.com.
  • Defina SSH SERVER MACS como hmac-sha2-256-etm@openssh.com, hmac-sha2-256. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

Use of a Broken Cryptographic Algorithm

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1188CWE-327

Identificadores relacionados

GHSA-3M6Q-H5GJ-7MRW

Produtos afetados

Code.Gitea.Io/Gitea
Gitea
Gitea-Docs
Gitea-Fish-Completion
Gitea-Zsh-Completion