Gitea nie weryfikuje prawidłowo przynależności projektu do organizacji podczas operacji na projektach. Podatność pozwala użytkownikowi posiadającemu uprawnienia zapisu w jednej organizacji na modyfikowanie projektów należących do innej organizacji.
▸ Pokaż oryginał (EN)
Gitea does not properly validate project ownership in organization project operations. A user with project write access in one organization may be able to modify projects belonging to a different organization.
Błąd wynika z nieprawidłowej kontroli dostępu (CWE-284) podczas operacji na projektach organizacyjnych. Użytkownik z uprawnieniami zapisu w projekcie jednej organizacji może wysyłać żądania dotyczące projektów należących do innej organizacji, ponieważ Gitea nie sprawdza poprawnie, czy dany projekt rzeczywiście należy do organizacji wskazanej w żądaniu. Pozwala to na obejście granic izolacji między organizacjami.
Atakujący może nieautoryzowanie modyfikować projekty należące do organizacji, do których nie posiada uprawnień, naruszając integralność danych oraz poufność konfiguracji projektów innych organizacji.
Należy zaktualizować Gitea do wersji 1.25.4 lub nowszej. Patch dostępny w referencjach producenta: https://github.com/go-gitea/gitea/releases/tag/v1.25.4
Gitea — wersje wskazane w referencjach producenta (podatność naprawiona w wersji 1.25.4)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NGitea
APPGitea< 1.25.4
Powiązane podatności
Gitea: nieautoryzowany dostęp do załączników z prywatnych repozytoriów
Gitea: nieautoryzowane usuwanie blokad Git LFS między repozytoriami
Gitea before 1.17.3 does not sanitize and escape refs in the git backend. Arguments to git commands are mishan...
An issue exsits in Gitea through 1.15.7, which could let a malicious user gain privileges due to client side c...
An Authentication Bypass vulnerability exists in Gitea before 1.5.0, which could let a malicious user gain pri...