В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость в популярной системе управления Git-репозиториями Gitea. Идентифицированная под номерами BDU:2026-01994 и CVE-2026-20750, эта проблема представляет высокий риск для конфиденциальности и целостности данных. Уязвимость связана с фундаментальными ошибками в механизме разграничения доступа (CWE-284), что классифицирует её как уязвимость архитектуры.
Детали уязвимости
Согласно данным BDU, проблема затрагивает все версии Gitea до 1.25.4. Таким образом, эксплуатация уязвимости может позволить удалённому злоумышленнику получить несанкционированный доступ к защищаемой информации без необходимости прохождения аутентификации. Фактически, нарушитель может обойти систему авторизации и напрямую обратиться к чувствительным данным, хранящимся в репозиториях.
Оценка по методологии CVSS подтверждает критический характер угрозы. Базовая оценка CVSS 3.1 достигает 9.1 балла из 10, что соответствует критическому уровню опасности. Вектор CVSS:AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N расшифровывается следующим образом: для атаки не требуется физический или локальный доступ к системе (AV:N - сетевой), низкая сложность эксплуатации (AC:L), не нужны привилегии (PR:N) или действия пользователя (UI:N). В результате под угрозу ставится полная конфиденциальность (C:H) и целостность (I:H) данных, однако доступность системы не нарушается (A:N).
Производитель программного обеспечения уже подтвердил наличие уязвимости и оперативно выпустил патч. Угроза была устранена в выпуске Gitea версии 1.25.4, опубликованном. Следовательно, основной и единственной рекомендованной мерой защиты является немедленное обновление программного обеспечения до актуальной версии. Все ссылки на исправления и технические детали, включая pull request'ы в репозитории GitHub (#36318 и #36373), указаны в описании BDU.
На текущий момент информация о наличии активных эксплойтов, использующих эту уязвимость, уточняется. Однако, учитывая высокий балл CVSS и относительно простой способ эксплуатации через нарушение авторизации, можно предположить, что интерес злоумышленников к этой проблеме будет высоким. В частности, подобные уязвимости часто привлекают внимание операторов шифровальщиков (ransomware), стремящихся получить доступ к исходному коду и критически важным данным компаний для последующего шантажа.
Gitea широко используется как внутри организаций для приватного хостинга проектов, так и в публичном пространстве. По этой причине уязвимость затрагивает огромный спектр пользователей: от небольших команд разработки до крупных корпоративных IT-инфраструктур. Компрометация такой системы может привести к утечке интеллектуальной собственности, ключей шифрования, токенов доступа и другой конфиденциальной информации, хранящейся в репозиториях.
Эксперты по кибербезопасности настоятельно рекомендуют администраторам всех инсталляций Gitea провести срочную проверку и обновление. Процесс обновления, как правило, не является сложным, но перед его проведением необходимо создать резервную копию всех данных и настроек. После обновления стоит также провести аудит журналов доступа на предмет любых подозрительных активностей за последние недели, предшествующие выпуску патча.
Важно отметить, что уязвимости класса "неправильный контроль доступа" остаются одной из самых распространённых и опасных проблем в веб-приложениях. Они часто возникают из-за сложности корректной реализации политик доступа для множества пользователей, организаций и репозиториев в системах типа Gitea. Данный инцидент лишний раз подчёркивает важность регулярного аудита кода и проведения тестирования на проникновение даже для проектов с открытым исходным кодом.
В заключение, оперативная реакция сообщества разработчиков Gitea на обнаруженную проблему заслуживает положительной оценки. Тем не менее, бремя оперативного применения исправлений лежит на системных администраторах и DevOps-инженерах. Промедление с обновлением создаёт прямую и немедленную угрозу для безопасности исходного кода и внутренней документации компаний. Следовательно, установка версии 1.25.4 должна быть рассмотрена как критически важная задача в рамках текущего цикла управления уязвимостями любой организации, использующей данное программное обеспечение.
Ссылки
- https://bdu.fstec.ru/vul/2026-01994
- https://www.cve.org/CVERecord?id=CVE-2026-20750
- https://blog.gitea.com/release-of-1.25.4/
- https://github.com/go-gitea/gitea/pull/36318
- https://github.com/go-gitea/gitea/pull/36373
- https://github.com/go-gitea/gitea/releases/tag/v1.25.4
