«Ευπάθεια Gitea: Κίνδυνοι για Ιδιωτικά Εικόνες Κοντέινερ»

Μια σοβαρή ευπάθεια ασφαλείας στον ενσωματωμένο μητρώο κοντέινερ της Gitea θέτει σε κίνδυνο τις ιδιωτικές εικόνες κοντέινερ, επιτρέποντας σε μη επιβεβαιωμένους εισβολείς να αποκτούν πρόσβαση χωρίς κανένα έλεγχο ταυτότητας. Αυτή η παράλειψη εγείρει σοβαρές ανησυχίες για οργανισμούς που στηρίζονται σε αυτοφιλοξενούμενα περιβάλλοντα Git και CI/CD.

Το πρόβλημα, που αναγνωρίζεται ως CVE-2026-27771, συνδέεται με την αποτυχία της Gitea να επιβάλει σωστά τον έλεγχο πρόσβασης στο μητρώο κοντέινερ. Αν και οι χρήστες μπορούν να ορίσουν τα αποθετήρια ως ιδιωτικά, διαπιστώνεται ότι το σύστημα δεν ελέγχει ορθά την ταυτότητα των χρηστών πριν την προβολή των μανιφέστων και των επιπέδων εικόνας.

Χρησιμοποιώντας τυπικά αιτήματα έλξης από Docker ή OCI στο εκτεθειμένο API, οι κακόβουλοι χρήστες μπορούν να κατεβάσουν πλήρεις εικόνες κοντέινερ ανώνυμα. Αυτή η αδυναμία παρακάμπτει ουσιαστικά τους περιορισμούς πρόσβασης και εκθέτει κρίσιμα δεδομένα που περιέχονται σε αυτές τις εικόνες.

Οι συνέπειες για την ασφάλεια είναι σοβαρές. Οι εικόνες κοντέινερ συχνά περιλαμβάνουν ευαίσθητο κώδικα εφαρμογών, ρυθμίσεις εσωτερικών υποδομών, κλειδιά API και διαπιστευτήρια που αφορούν βάσεις δεδομένων. Η παράνομη πρόσβαση σε αυτά τα δεδομένα μπορεί να επιτρέψει στους εισβολείς να χαρτογραφήσουν τις εσωτερικές υποδομές, να κλιμακώσουν την πρόσβαση και ενδεχομένως να θέσουν σε κίνδυνο τα παραγωγικά περιβάλλοντα.

Στα χειρότερα σενάρια, η ευπάθεια αυτή μπορεί να οδηγήσει σε πλευρική μετακίνηση μέσα στα συστήματα, σε παραβιάσεις δεδομένων ή ακόμα και σε πλήρη ανάληψη υποδομής.

Ευπάθεια του Gitea Container

Όλες οι εκδόσεις της Gitea πριν την 1.26.2 είναι ευπαθείς. Το Forgejo, ένα γνωστό πιρούνι της Gitea, το οποίο μοιράζεται την ίδια εφαρμογή μητρώου κοντέινερ, έχει επίσης επιβεβαιωθεί ως ευάλωτο μέσω ανεξάρτητων δοκιμών.

Η ευρεία υιοθέτηση της Gitea στους αγωγούς ανάπτυξης καθιστά την έκθεση αυτή ιδιαίτερα ανησυχητική. Εκτιμάται ότι πάνω από 31.000 περιπτώσεις Gitea που συνδέονται με το Διαδίκτυο μπορεί να είναι εκτεθειμένες, με εφαρμογές σε πολλούς τομείς, όπως η υγειονομική περίθαλψη, η αεροδιαστημική, το λιανικό εμπόριο και το εταιρικό λογισμικό.

Διοικητικά, σημαντικός αριθμός αυτών των περιπτώσεων φιλοξενείται σε μεγάλες πλατφόρμες cloud, κάτι που αυξάνει την επιφάνεια κινδύνου ακόμη περισσότερο.

Η ευπάθεια αναγνωρίστηκε τον Απρίλιο του 2026 από την NoScope, έναν ανεξάρτητο οργανισμό δοκιμών ασφαλείας, και έχει ανακοινωθεί υπεύθυνα στους συντηρητές της Gitea.

Πρέπει να σημειωθεί ότι το ζήτημα παρέμεινε αδιάφορο για σχεδόν τέσσερα χρόνια, από τη στιγμή που εισήχθη η δυνατότητα του μητρώου κοντέινερ.

Παρόλο που δεν έχει παρατηρηθεί καμία δημόσια εκμετάλλευση της ευπάθειας, οι ερευνητές της Orca Security προειδοποίησαν ότι η εκμετάλλευσή της παραμένει πιθανή λόγω της εύκολης πρόσβασης χωρίς έλεγχο ταυτότητας.

Το Gitea έχει διορθώσει τη συγκεκριμένη ευπάθεια στην έκδοση 1.26.2 και συνιστάται στους χρήστες να προχωρήσουν άμεσα σε αναβάθμιση.

Ως πρόχειρο μέτρο, οι διαχειριστές μπορούν να ενεργοποιήσουν τη ρύθμιση REQUIRE_SIGNIN_VIEW για την παγκόσμια επιβολή ελέγχου ταυτότητας, αν και αυτό μπορεί να περιορίσει τη νόμιμη δημόσια πρόσβαση.

Οι ομάδες ασφαλείας καλούνται να ελέγχουν τα αρχεία καταγραφής πρόσβασης για τυχόν μη εξουσιοδοτημένες έλξεις και να περιστρέφουν διαπιστευτήρια που μπορεί να έχουν εκτεθεί μέσω των εικόνων κοντέινερ.

Για τους οργανισμούς που χρησιμοποιούν το Gitea για αποθήκευση κοντέινερ και CI/CD ροές, είναι κρίσιμο να αντιμετωπίσουν αυτή την ευπάθεια ως ένα επείγον ζήτημα και να προτεραιοποιήσουν την αποκατάσταση για να αποτρέψουν οποιαδήποτε πιθανή έκθεση δεδομένων.