CVE-2026-20888

Опубликовано: 22 янв. 2026

Источник: nvd

CVSS3: 4.3

EPSS Низкий

Описание

Gitea does not properly verify authorization when canceling scheduled auto-merges via the web interface. A user with read access to pull requests may be able to cancel auto-merges scheduled by other users.

Ссылки

https://blog.gitea.com/release-of-1.25.4/
Release Notes
https://github.com/go-gitea/gitea/pull/36341
Issue Tracking
Patch
https://github.com/go-gitea/gitea/pull/36356
Issue Tracking
Patch
https://github.com/go-gitea/gitea/releases/tag/v1.25.4
Release Notes
https://github.com/go-gitea/gitea/security/advisories/GHSA-ccq9-c5hv-cf64
Broken Link

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:gitea:gitea:*:*:*:*:*:-:*:*

Версия до 1.25.4 (исключая)

EPSS

Процентиль: 1%

0.00011

Низкий

4.3 Medium

CVSS3

Дефекты

CWE-284

Связанные уязвимости

CVE-2026-20888

CVSS3: 4.3

redhat

2 месяца назад

CVE-2026-20888

CVSS3: 4.3

debian

2 месяца назад

Gitea does not properly verify authorization when canceling scheduled ...

ROS-20260224-73-0027

CVSS3: 4.3

redos

около 1 месяца назад

Уязвимость gitea

GHSA-9cgq-wp42-4rpq

github

2 месяца назад

Gitea does not properly verify authorization when canceling scheduled auto-merges via the web interface

EPSS

Процентиль: 1%

0.00011

Низкий

4.3 Medium

CVSS3

Дефекты

CWE-284