オープンソースのセルフホスト型Gitサービス「Gitea」に脆弱性が発見され、未認証の攻撃者が30,000件以上のデプロイメントからプライベートコンテナイメージを取得できた可能性があると、AIペネトレーションテスト企業NoScopeが警告しています。
CVE-2026-27771として追跡されているこのセキュリティ上の欠陥は、Giteaの組み込みコンテナレジストリに影響するアクセス制御の問題として説明されています。実装を共有するForgejoも影響を受けており、Gitea派生の他のフォークも影響を受ける可能性があります。
この欠陥により、プライベートとしてマークされたイメージに対して認証要件が適用されず、コンテナレジストリはレジストリAPIへの標準的な匿名Docker/OCIプルリクエストに応じてそれらを提供し続けていました。
このセキュリティ上の欠陥はGiteaのコードに約4年間潜伏しており、先週リリースされたバージョン1.26.2でパッチが適用されました。
「Giteaのコンテナレジストリは、アカウントも、パスワードも、事前のアクセス権もなく、インターネット上の誰でも、影響を受けるインスタンスから一見プライベートに見えるコンテナイメージをまるでパブリックであるかのように取得できる状態にありました」とNoScopeは述べています。
コンテナイメージにはソースコード、シークレット、本番インフラの詳細などの機密情報が含まれている可能性があるため、この脆弱性による影響は深刻であると同社は警告しています。
NoScopeによると、Shodanの検索でインターネットに公開されているGiteaインスタンスが34,000件以上見つかりました。そのうち約93%、すなわち31,750件が脆弱である可能性が高いとのことです。
影響を受ける可能性のあるデプロイメントの分析により、約4,000件が主要なクラウドまたはVPSプラットフォーム上で稼働する本番システムであることが判明しました。また約7,000件のインスタンスがGiteaのデフォルトポートで稼働していたとNoScopeは述べています。
「データは明確です。これらは趣味のマシンではありません。実際のワークロードのために、本番グレードのコンピュートで稼働させながら、自社の開発インフラをセルフホストすることを意図的に選択した組織です」と、このAIペネトレーションテスト企業は指摘しています。
組織はGiteaバージョン1.26.2に直ちに更新するか、すべてのコンテンツアクセスに認証を要求するよう設定を変更することが推奨されています。
「この設定は、意図的に一部のコンテナを公開しているインスタンスには適していないことに注意してください。そのような状況にある運用者はトレードオフを慎重に検討すべきです」とNoScopeは述べています。
翻訳元: https://www.securityweek.com/gitea-vulnerability-exposed-30000-deployments-to-attacks/
