つみかさね

CVE-2026-22874

Critical(9.6)

GiteaのSSRF保護不完全 CVE-2026-22874:影響範囲と対応方法

公開日: 2026-07-05データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
GiteaGitea< v1.26.3

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Gitea のバージョンを確認する(v1.26.2 以前であれば対応必要)
  2. 2v1.26.3 以降へアップデートする
  3. 3アップデートまでの間は Webhook・マイグレーションの権限を制限する

影響対象

Gitea v1.26.2以前の利用者

補足

  • -クラウド環境(AWS, GCP, Azure 等)では内部メタデータへのアクセスリスクが特に高い
CVEGiteaSSRFセキュリティ修正

30秒で判断

対応すべき人:

  • Gitea を v1.26.2 以前で運用している
  • Webhook またはリポジトリマイグレーション機能を利用している(特に外部ユーザーが設定可能な環境)

対応不要な人:

  • すでに v1.26.3 以降を使用している
  • Webhook・マイグレーション機能を無効化、または信頼できる管理者のみに制限している
  • インターネットから分離されたクローズドネットワーク環境で運用している

確認コマンド:

# Gitea バージョン確認
gitea --version

概要

Gitea v1.26.2 以前では、Webhook および マイグレーション のリクエスト先 URL に対する SSRF(Server-Side Request Forgery)保護のフィルタリングが不完全でした。許可リスト(allow-list)の検証をバイパスする方法が存在し、Gitea が動作するサーバーの内部ネットワーク上のリソースにリクエストを送信できる可能性があります。

SSRF が悪用されると、クラウド環境のメタデータエンドポイント(例: AWS EC2 の 169.254.169.254)やイントラネット上のサービスへのアクセスが可能になる場合があります。

CVSS ベクトル

項目
Attack VectorNetwork
Attack ComplexityHigh
Privileges RequiredNone
User InteractionNone
Confidentiality ImpactHigh
Integrity ImpactHigh
Availability ImpactHigh
CVSS Score9.6 (Critical)

影響を受けるソフトウェア

製品バージョン
Giteav1.26.2 以前

修正バージョンと回避策

修正バージョン: v1.26.3 以降

暫定回避策:

  • Webhook の作成・編集権限を管理者のみに制限する
  • マイグレーション機能を無効化またはアクセス制限する

関連リンク


データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。