つみかさね

CVE-2026-58426

Critical(9.6)

Gitea Actions Artifacts HMAC署名の曖昧さ CVE-2026-58426:影響範囲と対応方法

公開日: 2026-07-05データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
GiteaGitea< v1.26.2

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1Gitea のバージョンを確認する(v1.26.1 以前であれば対応必要)
  2. 2v1.26.2 以降へアップデートする
  3. 3Actions のアーティファクトに機密情報が含まれる場合は漏洩の可能性を検討する

影響対象

Gitea Actions利用者(v1.26.1以前)

補足

  • -v1.26.4 が最新の安定版のため、可能であれば最新版へのアップデートを推奨
CVEGiteaGitea ActionsHMAC署名バイパス

30秒で判断

対応すべき人:

  • Gitea v1.26.1 以前で Gitea Actions を使用している
  • Actions のアーティファクトに機密情報(ビルド成果物、認証情報等)が含まれる

対応不要な人:

  • v1.26.2 以降を使用中
  • Gitea Actions を使用していない
  • Actions のアーティファクトに機密情報が含まれない

概要

Gitea Actions の Artifacts V4 において、署名付き URL の HMAC 計算に曖昧さが存在します。この問題により、攻撃者が別のリポジトリのアーティファクトを読み取ったり、別のタスクのアップロード状態を改ざんしたりする可能性があります。

CI/CD パイプライン内でリポジトリ間の分離が想定されている場合に、その境界を越えたアクセスが可能になる問題です。

CVSS ベクトル

項目
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
Confidentiality ImpactHigh
Integrity ImpactHigh
Availability ImpactHigh
CVSS Score9.6 (Critical)
CWECWE-347(不適切な署名検証)

影響を受けるソフトウェア

製品バージョン
Giteav1.26.1 以前

修正バージョン

修正バージョン: v1.26.2 以降

関連リンク


データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。