漏洞概述 Gitea 1.26.2 版本发布,包含多个安全修复和稳定性改进。主要漏洞包括: 1. CVE-2026-27783:修复读取权限问题。 2. CVE-2026-25714:统一 API 查询和仓库访问检查中的公共令牌过滤。 3. CVE-2026-20706:添加缺失的令牌范围检查。 4. CVE-2026-28744:修复智能 HTTP 请求范围错误。 5. CVE-2026-28699:修复基本认证错误。 6. CVE-2026-26231:修复允许维护者编辑权限检查。 7. CVE-2026-27771:为私有和内部包添加标签,并修复 composer 包源权限检查。 影响范围 这些漏洞影响了 Gitea 的多个方面,包括: 权限管理:读取权限、令牌范围检查、基本认证等。 API 和仓库访问:公共令牌过滤、API 查询和仓库访问检查。 HTTP 请求处理:智能 HTTP 请求范围错误。 包管理:私有和内部包的标签和权限检查。 修复方案 1. CVE-2026-27783:修复读取权限问题(#37769, #37781)。 2. CVE-2026-25714:统一 API 查询和仓库访问检查中的公共令牌过滤(#37118)。 3. CVE-2026-20706:添加缺失的令牌范围检查(#37735)。 4. CVE-2026-28744:修复智能 HTTP 请求范围错误(#37583)。 5. CVE-2026-28699:修复基本认证错误(#37503)。 6. CVE-2026-26231:修复允许维护者编辑权限检查(#37479, #37484)。 7. CVE-2026-27771:为私有和内部包添加标签,并修复 composer 包源权限检查(#37610)。 POC 代码或利用代码 页面中未提供具体的 POC 代码或利用代码。 总结 Gitea 1.26.2 版本发布,修复了多个安全漏洞,包括权限管理、API 和仓库访问、HTTP 请求处理和包管理等方面的问题。建议所有用户升级到该版本以确保系统的安全性。