Gitea Vulnerability Exposes Private Container Images without Authentication
Mis à jour :
Vulnérabilité critique dans Gitea : fuite d’images de conteneurs privées
Une faille de sécurité majeure a été identifiée dans la plateforme de gestion de versions Gitea, permettant à des attaquants distants non authentifiés de télécharger des images de conteneurs privées sans aucune identification. Cette vulnérabilité, qui existait depuis près de quatre ans sans être détectée, concerne plus de 30 000 déploiements à travers le monde, touchant des secteurs sensibles tels que l’aérospatiale et la santé.
Points clés :
- Impact : Accès non autorisé à des images de conteneurs censées être protégées par des accès restreints.
- Étendue : Plus de 30 000 instances affectées mondialement. Le projet Forgejo a également confirmé être vulnérable.
- Durée : La faille est restée active pendant environ quatre ans.
Vulnérabilité :
- CVE-2026-27771 : Faille permettant le “pull” d’images privées sans authentification.
Recommandations :
- Mise à jour : Installer immédiatement la version 1.26.2 de Gitea, qui corrige officiellement cette vulnérabilité.
- Contournement temporaire : Si la mise à jour est impossible, configurer
[service].REQUIRE_SIGNIN_VIEW=truedans le fichier de configuration de Gitea (attention : cette mesure restreint l’accès à l’ensemble de l’instance, y compris les dépôts destinés à être publics). - Vérification : Les utilisateurs de forks de Gitea, comme Forgejo, doivent surveiller les correctifs spécifiques publiés par leurs mainteneurs respectifs.