Gitea 漏洞无需身份验证即可暴露私有容器镜像

网络安全研究人员披露了开源自托管版本控制平台 Gitea 中的一个安全漏洞，该漏洞允许未经过身份验证的远程攻击者无需账户、密码或其他凭证即可从 Gitea 部署实例中拉取私有容器镜像。
该漏洞被追踪为 CVE-2026-27771（CVSS 评分：8.2），影响 1.26.2 之前的所有 Gitea 版本，1.26.2 版本已修复该问题。

根据 Noscope 的说法，该安全缺陷可能影响分布在 30 多个国家的超过 3 万个部署实例，并且在近四年的时间里未被发现。绝大多数暴露实例位于美国、德国、法国和英国。受影响的组织涵盖医疗保健提供商、航空航天制造商、零售基础设施和互联网服务提供商。

Noscope 表示：“在受影响的版本上，容器存储库的私有标记并未提供运营者合理预期的保护。”
“Gitea 的容器注册表允许互联网上的任何人，在没有账户、没有密码、没有任何预先访问权限的情况下，从受影响实例中拉取那些乍看之下应属于私有的容器镜像，就如同它们是公开镜像一样。”

这家总部位于英国的安全公司还指出，任何 Gitea 的分支都应被视为可能受到该漏洞影响，直到各自维护者进行了独立验证。在其自身测试中，Forgejo 已被确认受到影响。

目前尚未提供与 CVE-2026-27771 相关的更多技术细节。Noscope 联合创始人 Keval Jagani 在接受 The Hacker News 采访时表示，细节被故意保留是为了给“更广泛的 Gitea 生态系统留出时间进行补丁修复。”

建议 Gitea 用户更新到版本 1.26.2 以获得最佳保护。如果无法立即进行补丁修复，临时解决方法是在 Gitea 配置中将 [service].REQUIRE_SIGNIN_VIEW 设置为 true。但值得注意的是，如果某些容器原本就是有意公开暴露的，这种方法并不理想。