PT-2026-4291 · Gitea+1 · Gitea+1

Spingarbor

Publicado

2026-01-22

Atualizado

2026-02-24

CVE-2026-20888

CVSS v4.0

5.3

Média

Vetor

AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N

Nome do Software Vulnerável e Versões Afetadas Gitea (versões afetadas não especificadas)

Descrição O Gitea não verifica adequadamente a autorização ao cancelar auto-merges agendados através da interface web. Um usuário com acesso de leitura a pull requests pode conseguir cancelar auto-merges agendados por outros usuários. Isso impacta o processo de autorização para o cancelamento de auto-merges agendados.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Improper Access Control

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284CWE-862

Identificadores relacionados

BIT-GITEA-2026-20888

CVE-2026-20888

GHSA-9CGQ-WP42-4RPQ

GHSA-CCQ9-C5HV-CF64

GO-2026-4366

SUSE-SU-2026:0403-1

Produtos afetados

Gitea

Red Os

PT-2026-4291 · Gitea+1 · Gitea+1

CVE-2026-20888

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 96