1. CVE-Search
  2. CVE-2020-28991
ID CVE-2020-28991
Summary Gitea 0.9.99 through 1.12.x before 1.12.6 does not prevent a git protocol path that specifies a TCP port number and also contains newlines (with URL encoding) in ParseRemoteAddr in modules/auth/repo_form.go.
References
Vulnerable Configurations
  • cpe:2.3:a:gitea:gitea:0.9.99:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:0.9.99:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.0.0:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.0.2:*:*:*:*:jenkins:*:*
    cpe:2.3:a:gitea:gitea:1.0.2:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:gitea:gitea:1.0.3:*:*:*:*:jenkins:*:*
    cpe:2.3:a:gitea:gitea:1.0.3:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:gitea:gitea:1.0.4:*:*:*:*:jenkins:*:*
    cpe:2.3:a:gitea:gitea:1.0.4:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:gitea:gitea:1.0.5:*:*:*:*:jenkins:*:*
    cpe:2.3:a:gitea:gitea:1.0.5:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:gitea:gitea:1.0.6:*:*:*:*:jenkins:*:*
    cpe:2.3:a:gitea:gitea:1.0.6:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:gitea:gitea:1.0.7:*:*:*:*:jenkins:*:*
    cpe:2.3:a:gitea:gitea:1.0.7:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:gitea:gitea:1.0.8:*:*:*:*:jenkins:*:*
    cpe:2.3:a:gitea:gitea:1.0.8:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:gitea:gitea:1.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.1.0:*:*:*:*:jenkins:*:*
    cpe:2.3:a:gitea:gitea:1.1.0:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:gitea:gitea:1.1.1:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.1.1:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.1.1:*:*:*:*:jenkins:*:*
    cpe:2.3:a:gitea:gitea:1.1.1:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:gitea:gitea:1.1.2:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.1.2:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.1.2:*:*:*:*:jenkins:*:*
    cpe:2.3:a:gitea:gitea:1.1.2:*:*:*:*:jenkins:*:*
  • cpe:2.3:a:gitea:gitea:1.1.3:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.1.3:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.1.4:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.1.4:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.2.0:-:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.2.0:-:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.2.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.2.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.2.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.2.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.2.0:rc3:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.2.0:rc3:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.2.1:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.2.1:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.2.2:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.2.2:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.2.3:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.2.3:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.3.0:-:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.3.0:-:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.3.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.3.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.3.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.3.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.3.2:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.3.2:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.3.3:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.3.3:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.4.0:-:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.4.0:-:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.4.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.4.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.4.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.4.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.4.0:rc3:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.4.0:rc3:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.4.2:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.4.2:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.4.3:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.4.3:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.5.0:-:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.5.0:-:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.5.0:dev:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.5.0:dev:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.5.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.5.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.5.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.5.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.5.2:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.5.3:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.6.0:-:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.6.0:-:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.6.0:dev:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.6.0:dev:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.6.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.6.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.6.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.6.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.6.1:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.6.2:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.6.2:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.6.3:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.6.3:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.6.4:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.6.4:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.7.0:-:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.7.0:-:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.7.0:dev:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.7.0:dev:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.7.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.7.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.7.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.7.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.7.0:rc3:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.7.0:rc3:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.7.2:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.7.2:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.7.3:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.7.3:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.7.6:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.7.6:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.8.0:-:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.8.0:-:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.8.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.8.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.8.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.8.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.8.0:rc3:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.8.0:rc3:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.8.1:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.8.1:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.8.2:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.8.2:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.8.3:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.8.3:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.9.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.9.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.9.1:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.9.1:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.9.2:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.9.2:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.9.3:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.9.3:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.9.4:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.9.4:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.9.5:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.9.5:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.9.6:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.9.6:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.10.0:-:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.10.0:-:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.10.0:dev:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.10.0:dev:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.10.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.10.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.10.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.10.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.10.1:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.10.1:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.10.2:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.10.2:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.10.3:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.10.3:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.10.4:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.10.4:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.10.6:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.10.6:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.11.0:-:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.11.0:-:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.11.0:dev:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.11.0:dev:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.11.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.11.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.11.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.11.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.11.1:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.11.1:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.11.2:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.11.2:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.11.3:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.11.3:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.11.4:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.11.4:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.11.5:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.11.5:*:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.12.0:-:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.12.0:-:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.12.0:dev:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.12.0:dev:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.12.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.12.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:gitea:gitea:1.12.5:*:*:*:*:*:*:*
    cpe:2.3:a:gitea:gitea:1.12.5:*:*:*:*:*:*:*
CVSS
Base: 7.5 (as of 03-12-2020 - 15:38)
Impact:
Exploitability:
CWE NVD-CWE-noinfo
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
PARTIAL PARTIAL PARTIAL
cvss-vector via4 AV:N/AC:L/Au:N/C:P/I:P/A:P
refmap via4
misc
Last major update 03-12-2020 - 15:38
Published 24-11-2020 - 01:15
Last modified 03-12-2020 - 15:38
Back to Top