Gitea Vulnerability Exposes Private Container Images without Authentication
2026/05/27 TheHackerNews — オープンソースのセルフホスト型バージョン管理プラットフォーム Gitea に存在する、脆弱性 CVE-2026-27771 (CVSS:N/A) が、サイバーセキュリティ研究者たちにより公開された。この脆弱性を悪用する未認証のリモート攻撃者は、アカウントやパスワードなどの認証情報を必要とせずに、プライベートなコンテナイメージの取得を可能にする。この脆弱性が影響を及ぼす範囲は、Gitea バージョン 1.26.2 未満であるが、すでにバージョン 1.26.2 で修正が提供されている。
このセキュリティ欠陥は、およそ 30 カ国の 30,000 件以上のデプロイメントに影響を及ぼす可能性があるが、約 4 年間にわたり未検出の状態が続いていたと、Noscope は指摘している。
その影響の大半は 中国/米国/英国/ドイツ/フランスに集中しており、 医療提供者/航空宇宙メーカー/小売インフラ/インターネット・サービス・プロバイダーなどに被害が及ぶ可能性がある。
Noscope は、「影響を受けるバージョンのコンテナ・リポジトリにおいて、運用者が期待する保護が “プライベート” 設定により提供されていなかった。Gitea のプライベート・コンテナレジストリは、アカウント/パスワードなどのアクセス権を持たないインターネット上の第三者に対して、事実上公開されている。それらの影響を受けるインスタンスから、プライベートと見なされるコンテナ・イメージの取得が可能であった」と述べている。
また、Gitea のあらゆるフォーク・プロジェクトについても、各メンテナーによる独立検証が完了するまでは、この脆弱性の影響を受ける可能性があると、この英国のセキュリティ企業は指摘している。同社のテストでは、Forgejo が影響を受けていることが確認されているが、現時点では追加の技術的詳細は公開されていない。
Gitea ユーザーに対して強く推奨されるのは、バージョン 1.26.2 へと速やかにアップデートすることである。また、直ちにパッチを適用できない場合の暫定対策として、Gitea のコンフィグ・ファイル上で “[service].REQUIRE_SIGNIN_VIEW=true” を指定する方法がある。ただし、この方法は、一部のコンテナを意図的に公開する必要がある環境には適さない可能性がある。
訳者後書:今回の問題の核心は、本来であれば非公開であるはずの “プライベート” 設定が、正しく機能していなかったことにあります。脆弱性 CVE-2026-27771 (CVSS:N/A) により、本来は認証が必要なコンテナ・レジストリに対して、アカウントやパスワードを持たない外部の第三者であってもアクセスできてしまう状態になっています。つまり、システム側が「公開」と「非公開」の境界線を適切に識別できず、誰もがデータの取得が可能な仕様のまま、約 4 年間も気づかれずに運用されてきました。このようなアクセス制御の不備は、設定の思い込みから発生しやすいため、開発や運用の際には、意図した通りの制限が本当に実現していることを確認する習慣が大切です。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.