Investigadores de ciberseguridad han revelado una falla de seguridad en Gitea, una plataforma autohospedada de código abierto para el control de versiones. Esta falla permite que un atacante remoto no autenticado obtenga imágenes de contenedores privados de una implementación de Gitea sin requerir una cuenta, contraseña u otras credenciales.
Esta vulnerabilidad se rastrea como CVE-2026-27771 (puntuación CVSS: N/A) y afecta a todas las versiones de Gitea anteriores a la 1.26.2 que solucionan el problema.
Según Noscope, la falla de seguridad afectó potencialmente a más de 30.000 implementaciones en más de 30 países y no fue detectada durante casi cuatro años. La mayoría de las exposiciones ocurren en China, Estados Unidos, Alemania, Francia y el Reino Unido. Las organizaciones afectadas incluyen proveedores de atención médica, fabricantes aeroespaciales, infraestructura minorista y proveedores de servicios de Internet.
«En las versiones afectadas, la designación privada de los repositorios de contenedores no proporcionó la funcionalidad que los proveedores de protección esperaban razonablemente», dijo Noscope.
«El registro de contenedores de Gitea permite a cualquier persona en Internet extraer imágenes de contenedores aparentemente privadas de las instancias afectadas como si fueran públicas, sin una cuenta, contraseña o acceso previo».
La firma de seguridad con sede en el Reino Unido también señaló que las bifurcaciones de Gitea deben tratarse como potencialmente vulnerables hasta que sus respectivos mantenedores las verifiquen de forma independiente. Pruebas independientes han confirmado que Forgejo está afectado. No hay detalles técnicos adicionales disponibles en este momento.
Para una protección óptima, recomendamos que los usuarios de Gitea actualicen a la versión 1.6.2. Si la aplicación de parches no es una opción inmediata, una solución temporal es establecer (service).REQUIRE_SIGNIN_VIEW=true en la configuración de Gitea. Sin embargo, tenga en cuenta que este enfoque no es ideal si pretende exponer algunos contenedores intencionalmente.
Source link
