Vulnerabilidad en Gitea permite acceder a imágenes de contenedores privadas sin autenticación

Se ha descubierto una vulnerabilidad en Gitea que permite a atacantes remotos extraer imágenes de contenedores privadas sin necesidad de credenciales. Este fallo afecta a versiones anteriores a la 1.26.2 y podría impactar a más de 30,000 despliegues globales, incluyendo a Forgejo. Se recomienda actualizar la plataforma inmediatamente o ajustar la configuración de inicio de sesión como medida temporal.

Investigadores de ciberseguridad han revelado un fallo de seguridad en Gitea, una plataforma de control de versiones de código abierto y autoalojada, que permite a atacantes remotos no autenticados extraer imágenes de contenedores privados de despliegues de Gitea sin necesidad de una cuenta, contraseña u otras credenciales.

La vulnerabilidad, identificada como CVE-2026-27771 (puntuación CVSS: N/A), afecta a todas las versiones de Gitea anteriores a la 1.26.2, que soluciona el problema.

Según Noscope, el defecto de seguridad probablemente afecta a más de 30.000 despliegues en más de 30 países y pasó desapercibido durante casi cuatro años. La gran mayoría de las exposiciones se encuentran en China, EE. UU., Alemania, Francia y el Reino Unido. Las organizaciones afectadas abarcan proveedores de salud, fabricantes aeroespaciales, infraestructura minorista y proveedores de servicios de internet.

"En las versiones afectadas, la designación de privado en un repositorio de contenedores no proporcionaba la protección que los operadores razonablemente esperaban", afirmó Noscope en su blog.

"El registro de contenedores de Gitea ha permitido que cualquier persona en internet, sin cuenta, sin contraseña y sin acceso previo, extraiga lo que a primera vista se consideraría imágenes de contenedores privadas de las instancias afectadas como si fueran públicas".

La empresa de seguridad con sede en el Reino Unido también señaló que cualquier fork de Gitea debe tratarse como potencialmente impactado por la vulnerabilidad hasta que sea verificado independientemente por los mantenedores respectivos. En sus propias pruebas, se ha confirmado que Forgejo se ve afectado. Actualmente no hay más detalles técnicos disponibles.



Se recomienda a los usuarios de Gitea actualizar a la versión 1.6.2 para obtener una protección óptima. Si parchear no es una opción inmediata, una solución temporal es configurar [service].REQUIRE_SIGNIN_VIEW=true en la configuración de Gitea. Sin embargo, cabe señalar que este enfoque no es ideal si algunos contenedores deben estar expuestos públicamente de forma intencionada.

Fuente:
THN