In der Versionsverwaltungsplattform Gitea wurde die Schwachstelle CVE-2026-27771 entdeckt, die es nicht authentifizierten entfernten Angreifern ermöglicht, private Container-Images aus bereitgestellten Gitea-Instanzen abzurufen – ohne Benutzerkonto, Passwort oder sonstige Zugangsdaten. Die Schwachstelle betrifft alle Versionen von Gitea bis einschließlich 1.26.2 sowie nach Angaben der Forschenden auch den Fork Forgejo. Administratoren betroffener Installationen müssen auf Version 1.26.2 aktualisieren oder ein temporäres Workaround über die Konfiguration anwenden.
Technische Details der Schwachstelle
Das Problem liegt in der Container Registry von Gitea. Nach Angaben der Forschenden des britischen Unternehmens Noscope, die einen Bericht veröffentlicht haben, bot die Markierung eines Container-Repositories als privat de facto nicht den erwarteten Zugriffsschutz. Jeder Internetnutzer konnte einen Pull-Vorgang für Images durchführen, die der Administrator als nicht öffentlich betrachtete – das System behandelte solche Anfragen so, als wären die Images öffentlich.
Schlüsselparameter der Schwachstelle:
- CVE ID: CVE-2026-27771
- CVSS-Bewertung: zum Zeitpunkt der Veröffentlichung noch nicht vergeben
- Betroffene Produkte: Gitea (alle Versionen bis 1.26.2), Forgejo (durch Tests von Noscope bestätigt)
- Angriffsvektor: entfernt, ohne Authentifizierung
- Status der Ausnutzung: unbekannt; die Schwachstelle ist nicht im CISA-KEV-Katalog gelistet
Der Fix wurde in der Gitea-Version 1.26.2 veröffentlicht. Ein eigener ausführlicher Security Advisory der Gitea-Entwickler lag zum Zeitpunkt der Veröffentlichung nicht vor – die Informationen basieren auf den Release Notes und der Untersuchung von Noscope.
Ausmaß der Auswirkungen
Nach Schätzung von Noscope betrifft die Schwachstelle mutmaßlich über 30.000 bereitgestellte Gitea-Instanzen in mehr als 30 Ländern. Die höchste Konzentration verwundbarer Installationen liegt demnach in China, den USA, Deutschland, Frankreich und Großbritannien. Zu den potenziell betroffenen Organisationen zählen laut den Forschenden medizinische Einrichtungen, Hersteller aus der Luft- und Raumfahrt, Retail-Infrastrukturen und Internetprovider.
Wichtiger Hinweis: Diese Angaben zum Umfang stammen aus einer einzigen Forschungsquelle und wurden nicht unabhängig bestätigt. Noscope behauptet zudem, dass die Schwachstelle rund vier Jahre unbemerkt geblieben sei – auch diese Zeiteinschätzung ist bisher nicht durch Dritte verifiziert.
Besondere Beachtung verdient die Tatsache, dass sämtliche Gitea-Forks als potenziell verwundbar betrachtet werden sollten, bis ihre Maintainer eine eigenständige Prüfung vorgenommen haben. Im Rahmen eigener Tests hat Noscope das Vorliegen der Schwachstelle in Forgejo bestätigt, ein offizieller Advisory des Forgejo-Teams war in den verfügbaren Materialien jedoch nicht zu finden.
Risikobewertung
Der Kern der Schwachstelle ist eine Verletzung der grundlegenden Zugriffskontrolle auf die Container Registry. Das bedeutet, dass sämtliche privaten Container-Images, die in betroffenen Gitea-Instanzen abgelegt waren, von außen hätten erreichbar sein können. Mögliche Folgen:
- Abfluss proprietären Codes und von Konfigurationen: Container-Images enthalten häufig Quellcode von Anwendungen, Konfigurationsdateien und mitunter auch eingebettete Secrets (API-Schlüssel, Zugriffstoken, Datenbank-Verbindungsstrings).
- Aufklärung für Folgeangriffe: Die Analyse abgerufener Images kann interne Architektur, verwendete Abhängigkeiten und deren Versionen offenlegen und so die Suche nach weiteren Schwachstellen erleichtern.
- Verstöße gegen Compliance-Vorgaben: Für Organisationen in regulierten Branchen (Gesundheitswesen, Luft- und Raumfahrtindustrie) kann eine unkontrollierte Offenlegung von Daten regulatorische Konsequenzen nach sich ziehen.
Das Fehlen einer zugewiesenen CVSS-Bewertung erschwert eine formale Priorisierung. Die Art der Schwachstelle – vollständige Umgehung der Authentifizierung beim Zugriff auf Daten, die der Betreiber als geschützt ansieht – weist jedoch auf eine hohe Kritikalität hin.
Empfehlungen zur Behebung
- Update auf Gitea 1.26.2 – vorrangige Maßnahme. Diese Version behebt die Schwachstelle CVE-2026-27771.
- Temporäres Workaround (falls ein sofortiges Update nicht möglich ist): Setzen Sie den Parameter
[service].REQUIRE_SIGNIN_VIEW=truein der Gitea-Konfiguration. Dadurch ist zur Anzeige jeglicher Inhalte, einschließlich der Container Registry, eine Authentifizierung erforderlich. Beachten Sie, dass dieser Parameter auch den Zugriff auf Container sperrt, die bewusst öffentlich bleiben sollen. - Audit der Container-Images: Prüfen Sie, welche privaten Images in den betroffenen Instanzen abgelegt waren. Beurteilen Sie, ob sie sensible Daten enthalten – Secrets, Zugangsdaten, proprietären Code. Rotieren Sie gefundene eingebettete Secrets.
- Prüfung von Forks: Wenn Sie Forgejo oder andere Gitea-Forks einsetzen, sollten Sie diese bis zur Bestätigung durch die Maintainer des jeweiligen Projekts als verwundbar betrachten.
- Analyse der Zugriffsprotokolle: Untersuchen Sie die Logs der Container Registry auf nicht authentifizierte Pull-Anfragen zu privaten Repositories – so können Sie einschätzen, ob die Schwachstelle in Ihrer Infrastruktur ausgenutzt wurde.
Administratoren von Gitea, die die Container Registry mit privaten Images einsetzen, sollten das Update auf Version 1.26.2 als dringende Aufgabe betrachten. Wenn Ihre privaten Images Secrets oder Zugangsdaten enthielten, sollten Sie mit deren Rotation parallel zum Update beginnen, ohne das Ende des vollständigen Audits abzuwarten.
