В платформе контроля версий Gitea обнаружена уязвимость CVE-2026-27771, которая позволяет неаутентифицированным удалённым атакующим извлекать приватные контейнерные образы из развёрнутых экземпляров Gitea — без учётной записи, пароля или каких-либо иных учётных данных. Уязвимость затрагивает все версии Gitea до 1.26.2, а также, по данным исследователей, форк Forgejo. Администраторам затронутых инсталляций необходимо обновиться до версии 1.26.2 или применить временное решение через конфигурацию.
Технические детали уязвимости
Проблема локализована в контейнерном реестре Gitea. По данным исследователей из британской компании Noscope, опубликовавших отчёт, пометка контейнерного репозитория как приватного фактически не обеспечивала ожидаемой защиты доступа. Любой пользователь интернета мог выполнить операцию pull для образов, которые администратор считал закрытыми, — при этом система обрабатывала такие запросы так, будто образы являются публичными.
Ключевые параметры уязвимости:
- CVE ID: CVE-2026-27771
- Оценка CVSS: на момент публикации не присвоена
- Затронутые продукты: Gitea (все версии до 1.26.2), Forgejo (подтверждено тестированием Noscope)
- Вектор атаки: удалённый, без аутентификации
- Статус эксплуатации: неизвестен; в каталог CISA KEV уязвимость не внесена
Исправление выпущено в версии Gitea 1.26.2. Отдельного развёрнутого бюллетеня безопасности от разработчиков Gitea на момент публикации предоставлено не было — информация основана на записи о релизе и исследовании Noscope.
Масштаб воздействия
По оценкам Noscope, уязвимость предположительно затрагивает более 30 000 развёрнутых экземпляров Gitea в более чем 30 странах. Наибольшая концентрация уязвимых инсталляций, по тем же данным, приходится на Китай, США, Германию, Францию и Великобританию. Среди потенциально затронутых организаций исследователи называют медицинские учреждения, аэрокосмических производителей, розничную инфраструктуру и интернет-провайдеров.
Важная оговорка: эти оценки масштаба исходят из единственного исследовательского источника и не были независимо подтверждены. Также Noscope утверждает, что уязвимость оставалась незамеченной около четырёх лет — эта временная оценка также не верифицирована третьими сторонами.
Особого внимания заслуживает тот факт, что любые форки Gitea следует рассматривать как потенциально уязвимые до тех пор, пока их мейнтейнеры не проведут независимую проверку. В ходе собственного тестирования Noscope подтвердила наличие уязвимости в Forgejo, однако официального бюллетеня от команды Forgejo в доступных материалах обнаружено не было.
Оценка рисков
Суть уязвимости — нарушение базового контроля доступа к контейнерному реестру. Это означает, что любые приватные контейнерные образы, размещённые в затронутых экземплярах Gitea, могли быть доступны извне. Потенциальные последствия:
- Утечка проприетарного кода и конфигураций: контейнерные образы часто содержат исходный код приложений, конфигурационные файлы, а иногда и встроенные секреты (ключи API, токены доступа, строки подключения к базам данных).
- Разведка для последующих атак: анализ извлечённых образов может раскрыть внутреннюю архитектуру, используемые зависимости и их версии, что упрощает поиск дополнительных уязвимостей.
- Нарушение требований комплаенса: для организаций в регулируемых отраслях (здравоохранение, аэрокосмическая промышленность) неконтролируемое раскрытие данных может повлечь регуляторные последствия.
Отсутствие присвоенной оценки CVSS затрудняет формальную приоритизацию, однако характер уязвимости — полный обход аутентификации при доступе к данным, которые оператор считает защищёнными, — указывает на высокую степень серьёзности.
Рекомендации по устранению
- Обновление до Gitea 1.26.2 — приоритетное действие. Эта версия устраняет уязвимость CVE-2026-27771.
- Временное решение (если немедленное обновление невозможно): установить параметр
[service].REQUIRE_SIGNIN_VIEW=trueв конфигурации Gitea. Это потребует аутентификации для просмотра любого контента, включая контейнерный реестр. Следует учитывать, что данный параметр закроет доступ и к тем контейнерам, которые намеренно должны оставаться публичными. - Аудит контейнерных образов: проверьте, какие приватные образы были размещены в затронутых экземплярах. Оцените, содержат ли они чувствительные данные — секреты, учётные данные, проприетарный код. При обнаружении встроенных секретов выполните их ротацию.
- Проверка форков: если вы используете Forgejo или другие форки Gitea, считайте их уязвимыми до получения подтверждения от мейнтейнеров конкретного проекта.
- Анализ журналов доступа: изучите логи контейнерного реестра на предмет неаутентифицированных запросов pull к приватным репозиториям — это поможет оценить, была ли уязвимость использована в вашей инфраструктуре.
Администраторам Gitea, использующим контейнерный реестр с приватными образами, следует рассматривать обновление до версии 1.26.2 как срочную задачу. Если в ваших приватных образах содержались секреты или учётные данные — начните их ротацию параллельно с обновлением, не дожидаясь завершения полного аудита.
