У платформі керування версіями Gitea виявлено вразливість CVE-2026-27771, яка дає змогу неавтентифікованим віддаленим зловмисникам витягувати приватні контейнерні образи з розгорнутих екземплярів Gitea — без облікового запису, пароля чи будь-яких інших облікових даних. Вразливість стосується всіх версій Gitea до 1.26.2, а також, за даними дослідників, форку Forgejo. Адміністраторам уражених інсталяцій необхідно оновитися до версії 1.26.2 або застосувати тимчасове рішення через конфігурацію.
Технічні деталі вразливості
Проблему локалізовано в реєстрі контейнерів Gitea. За даними дослідників із британської компанії Noscope, яка оприлюднила звіт, позначення контейнерного репозиторію як приватного фактично не забезпечувало очікуваного контролю доступу. Будь-хто в інтернеті міг виконати операцію pull для образів, які адміністратор вважав закритими, — при цьому система обробляла такі запити так, ніби образи є публічними.
Ключові параметри вразливості:
- CVE ID: CVE-2026-27771
- Оцінка CVSS: на момент публікації не присвоєна
- Уражені продукти: Gitea (усі версії до 1.26.2), Forgejo (підтверджено тестуванням Noscope)
- Вектор атаки: віддалений, без автентифікації
- Статус експлуатації: невідомий; до каталогу CISA KEV вразливість не внесено
Виправлення випущено у версії Gitea 1.26.2. Окремого розгорнутого бюлетеня безпеки від розробників Gitea на момент публікації надано не було — інформація ґрунтується на записі про реліз і дослідженні Noscope.
Масштаб впливу
За оцінками Noscope, вразливість, імовірно, стосується понад 30 000 розгорнутих екземплярів Gitea більш ніж у 30 країнах. Найбільша концентрація вразливих інсталяцій, за тими ж даними, припадає на Китай, США, Німеччину, Францію та Велику Британію. Серед потенційно уражених організацій дослідники називають медичні установи, аерокосмічних виробників, роздрібну інфраструктуру та інтернет-провайдерів.
Важливе застереження: ці оцінки масштабу походять з єдиного дослідницького джерела й не були незалежно підтверджені. Також Noscope стверджує, що вразливість залишалася непоміченою близько чотирьох років — ця часова оцінка також не підтверджена третіми сторонами.
Особливої уваги заслуговує той факт, що будь-які форки Gitea слід розглядати як потенційно вразливі доти, доки їхні мейнтейнери не проведуть незалежну перевірку. Під час власного тестування Noscope підтвердила наявність вразливості у Forgejo, однак офіційного бюлетеня від команди Forgejo в доступних матеріалах виявлено не було.
Оцінка ризиків
Суть вразливості полягає в порушенні базового контролю доступу до реєстру контейнерів. Це означає, що будь-які приватні контейнерні образи, розміщені в уражених екземплярах Gitea, могли бути доступні ззовні. Потенційні наслідки:
- Витік пропрієтарного коду та конфігурацій: контейнерні образи часто містять вихідний код застосунків, конфігураційні файли, а інколи й вбудовані секрети (ключі API, токени доступу, рядки підключення до баз даних).
- Розвідка для подальших атак: аналіз отриманих образів може розкрити внутрішню архітектуру, використані залежності та їхні версії, що спрощує пошук додаткових вразливостей.
- Порушення вимог комплаєнсу: для організацій у регульованих галузях (охорона здоров’я, аерокосмічна промисловість) неконтрольоване розкриття даних може мати регуляторні наслідки.
Відсутність присвоєної оцінки CVSS ускладнює формальну пріоритизацію, однак характер вразливості — повний обхід автентифікації під час доступу до даних, які оператор вважає захищеними, — указує на високий рівень серйозності.
Рекомендації щодо усунення
- Оновлення до Gitea 1.26.2 — першочергова дія. Ця версія усуває вразливість CVE-2026-27771.
- Тимчасове рішення (якщо негайне оновлення неможливе): встановити параметр
[service].REQUIRE_SIGNIN_VIEW=trueу конфігурації Gitea. Це вимагатиме автентифікації для перегляду будь-якого контенту, зокрема реєстру контейнерів. Слід враховувати, що цей параметр закриє доступ і до тих контейнерів, які свідомо мають залишатися публічними. - Аудит контейнерних образів: перевірте, які приватні образи були розміщені в уражених екземплярах. Оцініть, чи містять вони чутливі дані — секрети, облікові дані, пропрієтарний код. У разі виявлення вбудованих секретів виконайте їх ротацію.
- Перевірка форків: якщо ви використовуєте Forgejo або інші форки Gitea, вважайте їх вразливими до отримання підтвердження від мейнтейнерів конкретного проєкту.
- Аналіз журналів доступу: вивчіть логи реєстру контейнерів на предмет неавтентифікованих запитів pull до приватних репозиторіїв — це допоможе оцінити, чи була вразливість використана у вашій інфраструктурі.
Адміністраторам Gitea, які використовують реєстр контейнерів із приватними образами, слід розглядати оновлення до версії 1.26.2 як невідкладне завдання. Якщо у ваших приватних образах містилися секрети або облікові дані — розпочніть їх ротацію паралельно з оновленням, не чекаючи завершення повного аудиту.
