重大な脆弱性がCVE-2026-27771として追跡されており、Gitea組み込みのコンテナレジストリに発見された。この脆弱性により、未認証のリモート攻撃者が認証情報なしでプライベートなコンテナイメージにアクセスできる。
この欠陥は、ソースコード、シークレット、インフラ構成情報などを含む機密アプリケーションデータを漏洩させる可能性があるため、深刻なリスクをもたらす。その深刻さと悪用の容易さから、セキュリティ専門家は組織に対してパッチを直ちに適用するよう強く求めている。
Giteaコンテナレジストリの脆弱性
この脆弱性は、Giteaのアクセス制御メカニズムの不備に起因する。リポジトリがプライベートに設定されている場合でも、コンテナレジストリは認証チェックを適切に強制しない。
その結果、攻撃者はレジストリAPIに対して標準的なDockerまたはOCIのプルリクエストを送信し、ログインアクセスやトークンを必要とせずにコンテナイメージ全体を取得できる。つまり、露出しているインスタンスは重要なデータを漏洩させる可能性がある。たとえばイメージに組み込まれたAPIキー、データベース認証情報、内部デプロイ構成などが該当する。
この問題はバージョン1.26.2より前のすべてのGiteaバージョン、および同じコンテナレジストリ実装を使用する人気フォークのForgejoにも影響する。
研究者の推定によれば、インターネットに公開されているGiteaインスタンスのうち約31,750件が30か国以上で脆弱な状態にあり、最も多いのは中国、米国、ドイツとなっている。
これらのインスタンスの約52パーセントが主要クラウドプラットフォームでホストされている。医療、航空宇宙、小売、インターネットサービスプロバイダー、エンタープライズソフトウェア開発環境など、幅広い業界が影響を受けている。
リスクを軽減するために、ユーザーはできる限り速やかにGiteaバージョン1.26.2へアップグレードすることが強く推奨される。Forgejoユーザーは公式パッチのリリースを監視する必要がある。
一時的な回避策として、管理者はREQUIRE_SIGNIN_VIEW設定を有効にすることができる。これにより、すべてのアクセスに認証が強制される。ただし、リポジトリやコンテナイメージへの正規のパブリックアクセスもブロックされる可能性がある。
この脆弱性は2026年4月にNoScopeの自律型ペネトレーションテストエージェントによって発見され、責任ある開示としてGiteaメンテナーに報告された。
現時点では公開された概念実証や積極的な悪用は報告されていないが、この欠陥は約4年間にわたって検出されずに放置されており、気づかれないまま漏洩していた可能性が高まっている。この問題を悪用した攻撃者は機密データを抽出し、内部インフラをマッピングし、侵害された環境内で横方向に移動する可能性がある。
セキュリティチームはアクセスログの監査、漏洩した可能性のある認証情報のローテーション、そしてCI/CDパイプラインの潜在的な漏洩の確認を行うことが推奨される。この脆弱性の重大性を考慮し、Giteaを利用する組織は最優先事項として取り扱い、環境を保護するために直ちに対応を取るべきである。
インスタントアップデートを受け取るにはGoogle ニュース、LinkedIn、Xでフォローし、GoogleでGBHを優先ソースに設定してください。
翻訳元: https://gbhackers.com/gitea-container-registry-vulnerability-private-image-exposure/
