ثغرة خطيرة في Gitea تعرّض 30 ألف مستودع حاوية خاص لوصول غير مصرّح به
كشف باحثو الأمن في Noscope عن ثغرة خطيرة في تجاوز المصادقة في Gitea، منصة Git المستضافة ذاتيًا واسعة الاستخدام، سمحت للمهاجمين غير الموثّقين بتنزيل صور حاويات خاصة من التثبيتات المتأثرة. الثغرة، المُسجّلة باسم CVE-2026-27771، تصيب جميع إصدارات Gitea قبل 1.26.2، وظلت غير مكتشفة لمدة أربع سنوات تقريبًا.
Gitea هو بديل مفتوح المصدر لـ GitHub، تُنصبه المؤسسات التي تريد الاحتفاظ بكودها وأعمال البناء داخل بنيتها التحتية بدلًا من المنصات السحابية العامة. ميزة سجل الحاويات — المُستخدمة لتخزين صور Docker و OCI — هي المكوّن المُتأثر.
ماذا سمحت الثغرة بفعله
تمثل الثغرة فشلًا جوهريًا في التحكم بالوصول في سجل حاويات Gitea. يستطيع المهاجم، الذي لا يحتاج سوى اتصال بالإنترنت، إرسال طلبات غير موثّقة لسحب صور الحاويات الخاصة — وهي الصور التي صرّح مالكو المستودعات بأنها خاصة. لا حساب ولا بيانات دخول ولا تفويض مسبق مطلوب.
يمكن أن تحتوي صور الحاويات على مواد حساسة: كود تطبيق خاص، أدوات داخلية، إعدادات النشر، متغيرات البيئة، وأسرار مدمجة. الصور الخاصة مصممة خصيصًا لتقييد الوصول إلى الأطراف المصرح لها. الثغرة جعلت هذا التصنيف بلا معنى لأي نشر لـ Gitea يعمل بإصدار متأثر.
حجم التعرض
حددت أبحاث Noscope أكثر من 30 ألف نشر لـ Gitea عبر أكثر من 30 دولة تأثرت بالثغرة، مع تركيزات أعلى في الصين والولايات المتحدة وألمانيا وفرنسا والمملكة المتحدة. تشمل المؤسسات المتأثرة مقدمي الرعاية الصحية ومصنعي الطيران ومشغلي البنية التحتية للتجزئة ومزودي خدمات الإنترنت.
نافذة التعرض التي استمرت أربع سنوات مقلقة بشكل خاص. أي جهة تهديد اكتشفت أو اشترت معرفة بهذه الثغرة خلال تلك الفترة يمكنها استخراج صور حاويات خاصة بصمت دون إثارة أنظمة كشف التسلل القياسية — فلا توجد محاولات مصادقة فاشلة لتسجيلها عندما يتم تجاوز المصادقة بالكامل.
التخفيف الفوري والتصحيح
يجب على المؤسسات التي تشغّل Gitea التحديث فورًا إلى الإصدار 1.26.2. في الحالات التي لا يمكن فيها التصحيح الفوري، يتوفر تخفيف مؤقت: تعيين REQUIRE_SIGNIN_VIEW=true في قسم [service] من ملف إعدادات Gitea يُجبر جميع الوصول إلى السجل على طلب المصادقة. لاحظ أن هذا الإعداد سيؤثر أيضًا على المستودعات العامة عمدًا.
Forgejo، الشوكة المجتمعية النشطة لـ Gitea، متأثرة أيضًا بنفس الثغرة. على المؤسسات التي تستخدم Forgejo مراقبة تنبيهات الأمان الخاصة بالمشروع لإصدار التصحيح المناسب وتطبيقه فورًا.
سياق أوسع
أصبحت بنية Git المستضافة ذاتيًا هدفًا متزايد الجاذبية مع تحرك المؤسسات بعمل التطوير الحساس بعيدًا عن المنصات السحابية العامة. على عكس الخدمات المُدارة التي تتلقى تحديثات أمان تلقائية، تتطلب المنصات المستضافة ذاتيًا من المؤسسات إدارة التصحيح بنفسها — وهي مسؤولية، كما تظهر هذه الثغرة، يمكن أن تؤدي إلى سنوات من التعرض عندما تكون ممارسات إدارة التصحيح غير متناسقة.
نافذة الأربع سنوات قبل الكشف تثير أيضًا تساؤلات حول عدد المؤسسات التي تجري تدقيقات أمنية لبنيتها التحتية المستضافة ذاتيًا لتطوير البرمجيات. سجلات الحاويات مكونات حاسمة في سلاسل توريد البرمجيات الحديثة؛ اختراق الصور الخاصة هو اختراق للأعمال الفنية البرمجية التي تُنشر إلى الأنظمة الإنتاجية.
المصدر: The Hacker News / Noscope Security Research، 27 مايو 2026
Originally reported by The Hacker News. Read the original article for additional details.
View original source