Kritische Gitea-Sicherheitslücke legte 30.000 private Container-Repositories ohne Authentifizierung offen

Sicherheitsforscher von Noscope haben eine kritische Sicherheitslücke in Gitea offengelegt, die eine Authentifizierungsumgehung ermöglicht. Gitea ist eine weit verbreitete, selbstgehostete Git-Plattform. Die Schwachstelle erlaubte nicht authentifizierten Angreifern, private Container-Images aus betroffenen Installationen herunterzuladen. Der Fehler, registriert als CVE-2026-27771, betrifft alle Gitea-Versionen vor 1.26.2 und blieb fast vier Jahre unentdeckt.

Gitea ist eine Open-Source-Alternative zu GitHub, die von Organisationen eingesetzt wird, die ihren Quellcode und Build-Artefakte lieber in eigener Infrastruktur als auf öffentlichen Cloud-Plattformen behalten möchten. Die Container-Registry-Funktion – zum Speichern von Docker- und OCI-Images – war die betroffene Komponente.

Was die Sicherheitslücke ermöglichte

Die Schwachstelle stellt einen grundlegenden Fehler in der Zugriffskontrolle der Gitea-Container-Registry dar. Ein Angreifer brauchte lediglich eine Internetverbindung, um unauthentifizierte Anfragen zum Abrufen privater Container-Images zu senden – Images, die Repository-Besitzer explizit als privat konfiguriert hatten. Es waren weder ein Konto, noch Anmeldedaten oder eine vorherige Autorisierung erforderlich.

Container-Images können sensibles Material enthalten: proprietären Anwendungscode, interne Werkzeuge, Bereitstellungskonfigurationen, Umgebungsvariablen und eingebettete Geheimnisse. Private Images sind speziell dazu gedacht, den Zugriff auf autorisierte Parteien zu beschränken. Die Sicherheitslücke machte diese Kennzeichnung für jede Gitea-Installation mit einer betroffenen Version bedeutungslos.

Ausmaß der Offenlegung

Die Forschung von Noscope identifizierte mehr als 30.000 Gitea-Installationen in über 30 Ländern, die betroffen waren, mit den höchsten Konzentrationen in China, den USA, Deutschland, Frankreich und dem Vereinigten Königreich. Die betroffenen Organisationen umfassen Gesundheitsdienstleister, Luft- und Raumfahrtunternehmen, Betreiber von Einzelhandelsinfrastruktur und Internetdienstanbieter.

Das fast vierjährige Zeitfenster der Offenlegung ist besonders besorgniserregend. Jeder Angreifer, der in dieser Zeit von dem Fehler erfuhr oder sich dieses Wissen erkaufte, konnte unauffällig private Container-Images exfiltrieren, ohne die üblichen Intrusion-Detection-Systeme auszulösen – es gibt keine fehlgeschlagenen Authentifizierungsversuche, wenn die Authentifizierung komplett umgangen wird.

Sofortmaßnahmen und Patchen

Organisationen, die Gitea betreiben, sollten umgehend auf Version 1.26.2 aktualisieren. Für Installationen, bei denen ein sofortiges Patchen nicht möglich ist, gibt es eine vorübergehende Abhilfe: Durch Setzen von REQUIRE_SIGNIN_VIEW=true im [service]-Abschnitt der Gitea-Konfigurationsdatei wird für alle Registry-Zugriffe eine Authentifizierung erzwungen. Beachten Sie, dass diese Einstellung auch absichtlich öffentliche Repositories betrifft.

Forgejo, der aktiv gepflegte Community-Fork von Gitea, ist ebenfalls von derselben Sicherheitslücke betroffen. Organisationen, die Forgejo nutzen, sollten die Sicherheitshinweise dieses Projekts auf einen entsprechenden Patch verfolgen und ihn umgehend anwenden.

Größerer Zusammenhang

Selbstgehostete Git-Infrastruktur ist ein zunehmend attraktives Ziel geworden, da Organisationen sensible Entwicklungsarbeit von öffentlichen Cloud-Plattformen wegverlagert haben. Anders als verwaltete Dienste, die automatische Sicherheitsupdates erhalten, erfordern selbstgehostete Plattformen, dass Organisationen das Patchen selbst verwalten – eine Verantwortung, die, wie diese Sicherheitslücke zeigt, zu jahrelanger Offenlegung führen kann, wenn die Patch-Management-Praktiken inkonsistent sind.

Das vierjährige Zeitfenster vor der Offenlegung wirft auch Fragen auf, wie viele Organisationen Sicherheitsaudits ihrer selbstgehosteten Entwicklungsinfrastruktur durchführen. Container-Registries sind kritische Komponenten moderner Software-Lieferketten; ein Bruch privater Images ist ein Bruch der Software-Artefakte, die in Produktionssystemen zum Einsatz kommen.

Quelle: The Hacker News / Noscope Security Research, 27. Mai 2026