セルフホスト型 Git プラットフォーム Gitea に、private 指定のコンテナイメージを未認証で pull できる重大な脆弱性 CVE-2026-27771 が公表された。発見元の Noscope によると、世界 30 か国以上で 30,000 以上のデプロイが影響を受け、欠陥は約 4 年間放置されていた。
主なポイント
- 影響範囲は Gitea 1.26.2 より前のすべてのバージョン。1.26.2 で修正済み
- コミュニティ fork の Forgejo もコンテナレジストリ実装を共有しており同様に脆弱
- デフォルト構成のままで攻撃が成立し、認証情報やソースコードを含む private イメージ全体が外部に露出する
- 影響を受ける環境の大半は中国・米国・ドイツ・フランス・英国に集中し、医療・航空宇宙・小売・ISP など業界横断で確認された
- パッチ適用が間に合わない場合は
[service]セクションにREQUIRE_SIGNIN_VIEW=trueを設定して暫定回避する
出典: Gitea Vulnerability Exposes Private Container Images without Authentication (The Hacker News)