CVE-2026-20888

Gitea does not properly verify authorization when canceling scheduled auto-merges via the web interface. A user with read access to pull requests may be able to cancel auto-merges scheduled by other users.

Published Jan 26, 2026

https://github.com/CVEProject/cvelistV5/blob/main/cves/2026/20xxx/CVE-2026-20888.json https://github.com/advisories/GHSA-9cgq-wp42-4rpq https://osv-vulnerabilities.storage.googleapis.com/GIT/CVE-2026-20888.json

CVSS ScoreMedium

5.3

Ecosystem	Package	Version

Ecosystem	Package	Version

Vulnerabilities

CVE-2026-20888

Gitea does not properly verify authorization when canceling scheduled auto-merges via the web interface. A user with read access to pull requests may be able to cancel auto-merges scheduled by other users.

Published Jan 26, 2026

https://github.com/CVEProject/cvelistV5/blob/main/cves/2026/20xxx/CVE-2026-20888.json https://github.com/advisories/GHSA-9cgq-wp42-4rpq https://osv-vulnerabilities.storage.googleapis.com/GIT/CVE-2026-20888.json

CVSS ScoreMedium

5.3


golang	code.gitea.io/gitea	v1.10.0-dev.0.20190711052757-a0820e09fbf7
golang	code.gitea.io/gitea	v1.10.0-dev
golang	code.gitea.io/gitea	v1.10.0-rc1
golang	code.gitea.io/gitea	v1.10.0-rc2
golang	code.gitea.io/gitea	v1.10.0
golang	code.gitea.io/gitea	v1.10.1
golang	code.gitea.io/gitea	v1.10.2
golang	code.gitea.io/gitea	v1.10.3
golang	code.gitea.io/gitea	v1.10.4
golang	code.gitea.io/gitea	v1.10.5
golang	code.gitea.io/gitea	v1.10.6
golang	code.gitea.io/gitea	v1.11.0-dev
golang	code.gitea.io/gitea	v1.11.0-rc1
golang	code.gitea.io/gitea	v1.11.0-rc2
golang	code.gitea.io/gitea	v1.11.0
golang	code.gitea.io/gitea	v1.11.1
golang	code.gitea.io/gitea	v1.11.2
golang	code.gitea.io/gitea	v1.11.3
golang	code.gitea.io/gitea	v1.11.4
golang	code.gitea.io/gitea	v1.11.5
golang	code.gitea.io/gitea	v1.11.6
golang	code.gitea.io/gitea	v1.11.7
golang	code.gitea.io/gitea	v1.11.8
golang	code.gitea.io/gitea	v1.12.0-dev
golang	code.gitea.io/gitea	v1.12.0-rc1
golang	code.gitea.io/gitea	v1.12.0-rc2
golang	code.gitea.io/gitea	v1.12.0
golang	code.gitea.io/gitea	v1.12.1
golang	code.gitea.io/gitea	v1.12.2
golang	code.gitea.io/gitea	v1.12.3
golang	code.gitea.io/gitea	v1.12.4
golang	code.gitea.io/gitea	v1.12.5
golang	code.gitea.io/gitea	v1.12.6
golang	code.gitea.io/gitea	v1.13.0-dev
golang	code.gitea.io/gitea	v1.13.0-rc1
golang	code.gitea.io/gitea	v1.13.0-rc2
golang	code.gitea.io/gitea	v1.13.0
golang	code.gitea.io/gitea	v1.13.1
golang	code.gitea.io/gitea	v1.13.2
golang	code.gitea.io/gitea	v1.13.3
golang	code.gitea.io/gitea	v1.13.4
golang	code.gitea.io/gitea	v1.13.5
golang	code.gitea.io/gitea	v1.13.6
golang	code.gitea.io/gitea	v1.13.7
golang	code.gitea.io/gitea	v1.14.0-dev
golang	code.gitea.io/gitea	v1.14.0-rc1
golang	code.gitea.io/gitea	v1.14.0-rc2
golang	code.gitea.io/gitea	v1.14.0
golang	code.gitea.io/gitea	v1.14.1
golang	code.gitea.io/gitea	v1.14.2

Ecosystem	Package	Version


golang	code.gitea.io/gitea	v1.10.0-dev.0.20190711052757-a0820e09fbf7
golang	code.gitea.io/gitea	v1.10.0-dev
golang	code.gitea.io/gitea	v1.10.0-rc1
golang	code.gitea.io/gitea	v1.10.0-rc2
golang	code.gitea.io/gitea	v1.10.0
golang	code.gitea.io/gitea	v1.10.1
golang	code.gitea.io/gitea	v1.10.2
golang	code.gitea.io/gitea	v1.10.3
golang	code.gitea.io/gitea	v1.10.4
golang	code.gitea.io/gitea	v1.10.5
golang	code.gitea.io/gitea	v1.10.6
golang	code.gitea.io/gitea	v1.11.0-dev
golang	code.gitea.io/gitea	v1.11.0-rc1
golang	code.gitea.io/gitea	v1.11.0-rc2
golang	code.gitea.io/gitea	v1.11.0
golang	code.gitea.io/gitea	v1.11.1
golang	code.gitea.io/gitea	v1.11.2
golang	code.gitea.io/gitea	v1.11.3
golang	code.gitea.io/gitea	v1.11.4
golang	code.gitea.io/gitea	v1.11.5
golang	code.gitea.io/gitea	v1.11.6
golang	code.gitea.io/gitea	v1.11.7
golang	code.gitea.io/gitea	v1.11.8
golang	code.gitea.io/gitea	v1.12.0-dev
golang	code.gitea.io/gitea	v1.12.0-rc1
golang	code.gitea.io/gitea	v1.12.0-rc2
golang	code.gitea.io/gitea	v1.12.0
golang	code.gitea.io/gitea	v1.12.1
golang	code.gitea.io/gitea	v1.12.2
golang	code.gitea.io/gitea	v1.12.3
golang	code.gitea.io/gitea	v1.12.4
golang	code.gitea.io/gitea	v1.12.5
golang	code.gitea.io/gitea	v1.12.6
golang	code.gitea.io/gitea	v1.13.0-dev
golang	code.gitea.io/gitea	v1.13.0-rc1
golang	code.gitea.io/gitea	v1.13.0-rc2
golang	code.gitea.io/gitea	v1.13.0
golang	code.gitea.io/gitea	v1.13.1
golang	code.gitea.io/gitea	v1.13.2
golang	code.gitea.io/gitea	v1.13.3
golang	code.gitea.io/gitea	v1.13.4
golang	code.gitea.io/gitea	v1.13.5
golang	code.gitea.io/gitea	v1.13.6
golang	code.gitea.io/gitea	v1.13.7
golang	code.gitea.io/gitea	v1.14.0-dev
golang	code.gitea.io/gitea	v1.14.0-rc1
golang	code.gitea.io/gitea	v1.14.0-rc2
golang	code.gitea.io/gitea	v1.14.0
golang	code.gitea.io/gitea	v1.14.1
golang	code.gitea.io/gitea	v1.14.2

Find vulnerabilities. Fix fast with AI.

CVE-2026-20888

CVE-2026-20888