Zraniteľnosť Gitea umožňuje voľne pristupovať k privátnym kontajnerom

May 28, 2026

Vysoko závažná zraniteľnosť v open-source platforme Gitea umožňuje neautentifikovaným vzdialeným útočníkom získať prístup k súkromným kontajnerom a obsahu privátnych projektov bez platných oprávnení alebo vytvoreného účtu na platforme.

Zraniteľné systémy:

Gitea, verzie staršie ako 1.26.2

Pozn.: Zraniteľné môžu byť aj forky platformy Gitea. Chyba zabezpečenia bola potvrdená v nástroji Forgejo.

Opis činnosti:

CVE-2026-27771 (CVSS skóre 8,2)

Vývojári platformy Gitea opravilli 4 roky starú zraniteľnosť, ktorá dovoľuje hocikomu z internetu pristupovať, resp. vykonávať požiadavky pull voči privátnym kontajnerom. Nie je pritom potrebné poznať heslo, ani mať na platforme účet.

Vývojári Gitea opravili aj ďalších 6 bezpečnostných chýb, ktoré dostali identifikátor CVE, no o ktorých zatiaľ neboli publikované žiadne informácie.

Zraniteľné môžu byť aj forky projektu Gitea. Prítomnosť chyby bola potvrdená v nástroji Forgejo.

Možné škody:

Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia Gitea aspoň na verziu 1.26.2.

Zraniteľnosť môžete dočasne mitigovať nastavením parametra [service].REQUIRE_SIGNIN_VIEW=true . Toto riešenie však obmedzí tiež dostupnosť kontajnery, ktoré chcete ponechať verejné.

Vzhľadom na to, že zraniteľnosť bola aktívna 4 roky, odporúčame skontrolovať logy pre odhalenie neoprávnených prístupov ku neverejným kontajnerom. V prípade nálezu odporúčame preveriť obsah kontajneru a zneplatniť všetky nájdené prihlasovacie údaje, kryptografické certifikáty, API kľúče, a podobne. Kontajnery môžu obsahovať aj ďalšie citlivé informácie vrátane architektúry produkčnej infraštruktúry organizácie, premenných prostredia, a podobne.

Pozn.: Pokiaľ používate fork platformy Gitea (Forgejo a iné), vykonajte mitigačné opatrenia voči danej zraniteľnosti.

Odkazy: