Una vulnerabilidad crítica en Gitea expuso 30.000 repositorios privados de contenedores a accesos no autenticados

Investigadores de ciberseguridad de Noscope han revelado una vulnerabilidad crítica de evasión de autenticación en Gitea, la plataforma Git autoalojada ampliamente utilizada, que permitía a atacantes no autenticados descargar imágenes de contenedores privadas de instalaciones afectadas. El fallo, registrado como CVE-2026-27771, afecta a todas las versiones de Gitea anteriores a la 1.26.2 y pasó desapercibido durante casi cuatro años.

Gitea es una alternativa Open Source a GitHub, implementada por organizaciones que desean mantener su código fuente y artefactos de compilación dentro de su propia infraestructura en lugar de en plataformas en la nube públicas. Su función de registro de contenedores —utilizada para almacenar imágenes Docker y OCI— fue el componente afectado.

Qué permitía la vulnerabilidad

El fallo representa una falla fundamental del control de acceso en el registro de contenedores de Gitea. Un atacante con nada más que una conexión a internet podía enviar solicitudes no autenticadas para descargar imágenes de contenedores privadas —imágenes que los propietarios del repositorio configuraron explícitamente como privadas. No se requería cuenta, credenciales ni autorización previa.

Las imágenes de contenedores pueden contener material sensible: código de aplicación propietario, herramientas internas, configuraciones de despliegue, variables de entorno y secretos incrustados. Las imágenes privadas están específicamente diseñadas para restringir el acceso a partes autorizadas. La vulnerabilidad hizo que esa designación careciera de sentido para cualquier despliegue de Gitea que ejecutara una versión afectada.

Magnitud de la exposición

La investigación de Noscope identificó más de 30.000 despliegues de Gitea en más de 30 países que estaban afectados, con las mayores concentraciones en China, Estados Unidos, Alemania, Francia y Reino Unido. Las organizaciones afectadas abarcan proveedores de salud, fabricantes aeroespaciales, operadores de infraestructura minorista y proveedores de servicios de internet.

La ventana de exposición de casi cuatro años es particularmente preocupante. Cualquier actor de amenaza que descubriera o comprara conocimiento de este fallo durante ese período podría haber estado exfiltrando silenciosamente imágenes de contenedores privadas sin activar sistemas de detección de intrusiones estándar —no hay intentos de autenticación fallidos que registrar cuando la autenticación se evade por completo.

Mitigación inmediata y parcheo

Las organizaciones que ejecutan Gitea deben actualizar a la versión 1.26.2 de inmediato. Para despliegues donde no sea posible el parcheo inmediato, existe una mitigación temporal: establecer REQUIRE_SIGNIN_VIEW=true en la sección [service] del archivo de configuración de Gitea obliga a que todo acceso al registro requiera autenticación. Tenga en cuenta que esta configuración también afectará a cualquier repositorio intencionalmente público.

Forgejo, el fork comunitario mantenido activamente de Gitea, también está afectado por la misma vulnerabilidad. Las organizaciones que usan Forgejo deben monitorear los avisos de seguridad de ese proyecto para una versión de parche correspondiente y aplicarla rápidamente.

Contexto más amplio

La infraestructura Git autoalojada se ha convertido en un objetivo cada vez más atractivo a medida que las organizaciones han trasladado el trabajo de desarrollo sensible fuera de las plataformas en la nube públicas. A diferencia de los servicios gestionados que reciben actualizaciones de seguridad automáticas, las plataformas autoalojadas requieren que las organizaciones gestionen los parches por sí mismas —una responsabilidad que, como demuestra esta vulnerabilidad, puede resultar en años de exposición cuando las prácticas de gestión de parches son inconsistentes.

La ventana de cuatro años antes de la divulgación también plantea preguntas sobre cuántas organizaciones realizan auditorías de seguridad de su infraestructura de desarrollo autoalojada. Los registros de contenedores son componentes críticos de las cadenas de suministro de software modernas; una violación de imágenes privadas es una violación de los artefactos de software que se despliegan en sistemas de producción.

Fuente: The Hacker News / Noscope Security Research, 27 de mayo de 2026