Lỗ hổng Gitea làm lộ các Container Image riêng tư mà không cần xác thực

Các nhà nghiên cứu bảo mật vừa tiết lộ một lỗi bảo mật trong Gitea, nền tảng tự lưu trữ mã nguồn mở để quản lý phiên bản, cho phép những kẻ tấn công từ xa không cần xác thực có thể tải xuống các container image riêng tư từ các triển khai Gitea mà không cần tài khoản, mật khẩu hay thông tin đăng nhập nào khác. Lỗ hổng này, được theo dõi với mã CVE-2026-27771, ảnh hưởng đến tất cả các phiên bản Gitea trước 1.26.2.
Lỗ hổng Gitea cho phép truy cập container image riêng tư

Các nhà nghiên cứu an ninh mạng vừa tiết lộ một lỗi bảo mật nghiêm trọng trong Gitea, một nền tảng mã nguồn mở tự lưu trữ để quản lý phiên bản, cho phép những kẻ tấn công từ xa không cần xác thực có thể tải xuống (pull) các container image riêng tư từ các triển khai Gitea mà không cần tài khoản, mật khẩu hay bất kỳ thông tin đăng nhập nào khác.

Lỗ hổng này, được theo dõi với mã CVE-2026-27771 (điểm CVSS: N/A), ảnh hưởng đến tất cả các phiên bản Gitea trước 1.26.2, phiên bản đã giải quyết vấn đề này.

Tác động trên quy mô toàn cầu

Theo Noscope, lỗi bảo mật này có khả năng ảnh hưởng đến hơn 30.000 lượt triển khai tại hơn 30 quốc gia và đã tồn tại mà không bị phát hiện trong gần bốn năm. Phần lớn các trường hợp bị phơi nhiễm nằm ở Trung Quốc, Mỹ, Đức, Pháp và Anh. Các tổ chức bị ảnh hưởng bao gồm các nhà cung cấp dịch vụ chăm sóc sức khỏe, nhà sản xuất hàng không vũ trụ, hạ tầng bán lẻ và các nhà cung cấp dịch vụ internet (ISP).

"Trên các phiên bản bị ảnh hưởng, thiết lập riêng tư (private) trên một kho lưu trữ container đã không đem lại sự bảo vệ mà các nhà vận hành mong đợi," Noscope cho biết.

"Registry container của Gitea đã cho phép bất kỳ ai trên internet, dù không có tài khoản, không có mật khẩu và không có quyền truy cập trước đó, đều có thể tải về những gì được coi là container image riêng tư từ các thực thể bị ảnh hưởng như thể chúng là công khai."

Cảnh báo cho các bản Fork của Gitea

Công ty bảo mật có trụ sở tại Anh cũng lưu ý rằng bất kỳ bản fork nào của Gitea cũng nên được coi là có khả năng bị ảnh hưởng bởi lỗ hổng này cho đến khi được xác minh độc lập bởi những người duy trì tương ứng. Trong các thử nghiệm của riêng mình, Forgejo đã được xác nhận là bị ảnh hưởng. Hiện tại không có thêm chi tiết kỹ thuật nào được công bố.

Bản đồ các node Gitea bị ảnh hưởng
Phân bố các thực thể Gitea bị ảnh hưởng trên bản đồ thế giới.

Khuyến nghị khắc phục và giảm thiểu rủi ro

Người dùng Gitea được khuyến nghị cập nhật lên phiên bản 1.26.2 để được bảo vệ tối ưu. Nếu việc vá lỗi không thể thực hiện ngay lập tức, một biện pháp khắc phục tạm thời là thiết lập [service].REQUIRE_SIGNIN_VIEW=true trong cấu hình Gitea. Tuy nhiên, cần lưu ý rằng phương pháp này không lý tưởng nếu một số container được chủ ý để công khai cho người dùng bên ngoài.