つみかさね

CVE-2026-28737

High(8.7)

GiteaのglTFファイル経由のStored XSS CVE-2026-28737:影響範囲と対応方法

公開日: 2026-07-05データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
GiteaGiteav1.25.0〜v1.25.x

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1Gitea のバージョンを確認する(v1.25.x を使用中であれば対応必要)
  2. 2v1.26.4(最新安定版)へアップデートする
  3. 3アップデート前の緩和策として、外部ユーザーによるリポジトリへのファイルプッシュを制限することを検討する

影響対象

Gitea v1.25.x を使用しているチーム・組織

補足

  • -v1.26.0 以降であれば本 CVE は修正済み。ただし他の Gitea CVE も修正されている v1.26.4 への更新を推奨
CVEGiteaXSSStored XSSglTF3Dファイル

30秒で判断

対応すべき人:

  • Gitea v1.25.x を使用している
  • 信頼できない外部ユーザーがリポジトリへ glTF ファイルをプッシュできる環境

対応不要な人:

  • v1.26.0 以降を使用中
  • v1.24.x 以前を使用中(3D ファイルビューア機能がない)
  • Gitea が内部ユーザーのみのプライベート環境で、全ユーザーが信頼できる

概要

Gitea v1.25.0 で追加された 3D ファイルビューア機能において、glTF ファイルの extensionsRequired フィールドの内容が適切にサニタイズされずに描画されます。これにより、悪意のある glTF ファイルをリポジトリにプッシュすることで、そのファイルを閲覧した他のユーザーのブラウザで任意のスクリプトを実行できます(Stored XSS)。

セッショントークンの窃取や、被害者ユーザーとして Gitea の操作(コミット、設定変更等)が可能になる場合があります。

CVSS ベクトル

項目
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredLow
User InteractionRequired
ScopeChanged
Confidentiality ImpactHigh
Integrity ImpactHigh
Availability ImpactNone
CVSS Score8.7 (High)
CWECWE-79(Cross-Site Scripting)

影響を受けるソフトウェア

製品バージョン
Giteav1.25.0〜v1.25.x

修正バージョン

修正バージョン: v1.26.0 以降

関連リンク


データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。