В Gitea закрыта уязвимость, открывавшая приватные контейнерные образы без аутентификации

В реестре контейнеров Gitea — открытой платформы для самостоятельного хостинга Git-репозиториев — обнаружена уязвимость CVE-2026-27771, позволявшая неаутентифицированным пользователям скачивать приватные образы. По данным исследователей, проблема оставалась незамеченной около четырёх лет и затрагивает свыше 30 тыс. инсталляций. Исправление вошло в Gitea 1.26.2.

В Gitea — открытой платформе для самостоятельного хостинга систем контроля версий — устранена уязвимость CVE-2026-27771, из-за которой встроенный реестр контейнерных образов отдавал приватные образы любому удалённому пользователю без учётной записи, пароля и какой-либо предварительной авторизации. Проблема затрагивает все версии до 1.26.2, в которой она и исправлена.

Уязвимость обнаружила и ответственно раскрыла британская компания Noscope. По её оценке, дефект мог оставаться незамеченным около четырёх лет и потенциально затрагивает более 30 тыс. инсталляций Gitea более чем в 30 странах; наибольшее число уязвимых экземпляров приходится на Китай, США, Германию, Францию и Великобританию. Среди затронутых организаций исследователи называют медицинские учреждения, аэрокосмические производства, ритейл-инфраструктуру и интернет-провайдеров.

По описанию Noscope, признак приватности контейнерного репозитория в уязвимых версиях фактически не обеспечивал ожидаемой защиты: реестр Gitea позволял скачивать формально приватные образы так, как если бы они были общедоступными. Технические подробности эксплуатации пока не раскрываются.

Noscope отдельно отмечает, что любую сборку на основе кода Gitea следует считать потенциально уязвимой до независимой проверки её сопровождающими. По итогам собственного тестирования компания подтвердила, что уязвимость затрагивает форк Forgejo.

Администраторам рекомендуется обновиться до Gitea 1.26.2. В качестве временного обходного решения предлагается включить в конфигурации параметр [service].REQUIRE_SIGNIN_VIEW=true, однако этот вариант не подходит, если часть контейнеров намеренно публикуется для открытого доступа.