30秒で判断
対応すべき人:
- Gitea v1.26.3 以前でブランチ保護(ワークフロー承認ゲート)を使用している
- フォークからの PR を受け付けており、承認フローが重要なセキュリティ要件になっている
対応不要な人:
- v1.26.4 以降を使用中
- フォークからの PR を受け付けていない
- ブランチ保護のワークフロー承認を使用していない
概要
Gitea v1.26.3 以前において、永続フォーク(Permanent Fork)から送られた PR がワークフロー承認ゲートをバイパスできる問題です。
本来は保護ブランチへのマージ前に必要な承認(PR レビュー承認、ステータスチェック等)が、特定の条件下でスキップされ、未承認のコードが保護ブランチにマージされる可能性があります。CWE-285(不適切な認可)、CWE-732(権限の不適切な割り当て)、CWE-863(不適切な認可)。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| Attack Vector | Network |
| Attack Complexity | Low |
| Privileges Required | Low |
| User Interaction | None |
| Confidentiality Impact | High |
| Integrity Impact | High |
| Availability Impact | High |
| CVSS Score | 8.9 (High) |
影響を受けるソフトウェア
| 製品 | バージョン |
|---|---|
| Gitea | v1.26.3 以前 |
修正バージョン
修正バージョン: v1.26.4
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
