Pesquisadores de cibersegurança revelaram uma falha de segurança no Gitea, uma plataforma open source e auto-hospedada de controle de versão, que permite a atacantes remotos não autenticados baixar imagens privadas de container em implantações do Gitea sem precisar de conta, senha ou qualquer outra credencial.
A vulnerabilidade, identificada como CVE-2026-27771 e com pontuação CVSS ainda não informada, afeta todas as versões do Gitea anteriores à 1.26.2, que corrige o problema.
Segundo a Noscope, a falha de segurança provavelmente atinge mais de 30.000 implantações em mais de 30 países e permaneceu sem detecção por cerca de quatro anos.
A maior parte das exposições está concentrada na China, nos Estados Unidos, na Alemanha, na França e no Reino Unido.
Entre as organizações afetadas há prestadores de serviços de saúde, fabricantes do setor aeroespacial, infraestrutura de varejo e provedores de serviços de internet.
"Nas versões afetadas, a classificação privada de um repositório de container não entregava a proteção que os operadores razoavelmente esperavam", afirmou a Noscope.
"O registro de containers do Gitea permitia que qualquer pessoa na internet, sem conta, sem senha e sem acesso prévio, baixasse imagens de container que, à primeira vista, seriam consideradas privadas em instâncias afetadas, como se fossem públicas."
A empresa de segurança, sediada no Reino Unido, também alertou que qualquer fork do Gitea deve ser tratado como potencialmente impactado pela vulnerabilidade até que seja verificado de forma independente pelos respectivos mantenedores.
Em seus próprios testes, o Forgejo foi confirmado como afetado.
Até o momento, não há detalhes técnicos adicionais disponíveis.
Os usuários do Gitea são aconselhados a atualizar para a versão 1.26.2 para obter a proteção ideal.
Se a correção não for uma opção imediata, uma solução temporária é definir [service].REQUIRE_SIGNIN_VIEW=true na configuração do Gitea.
Ainda assim, vale destacar que essa abordagem não é adequada se alguns containers forem intencionalmente expostos ao público.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...