30秒で判断
対応すべき人:
- Gitea v1.26.1 以前で Gitea Actions を使用している
- Actions のアーティファクトに機密情報(ビルド成果物、認証情報等)が含まれる
対応不要な人:
- v1.26.2 以降を使用中
- Gitea Actions を使用していない
- Actions のアーティファクトに機密情報が含まれない
概要
Gitea Actions の Artifacts V4 において、署名付き URL の HMAC 計算に曖昧さが存在します。この問題により、攻撃者が別のリポジトリのアーティファクトを読み取ったり、別のタスクのアップロード状態を改ざんしたりする可能性があります。
CI/CD パイプライン内でリポジトリ間の分離が想定されている場合に、その境界を越えたアクセスが可能になる問題です。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| Attack Vector | Network |
| Attack Complexity | Low |
| Privileges Required | None |
| User Interaction | None |
| Confidentiality Impact | High |
| Integrity Impact | High |
| Availability Impact | High |
| CVSS Score | 9.6 (Critical) |
| CWE | CWE-347(不適切な署名検証) |
影響を受けるソフトウェア
| 製品 | バージョン |
|---|---|
| Gitea | v1.26.1 以前 |
修正バージョン
修正バージョン: v1.26.2 以降
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
