آسیبپذیری بحرانی Gitea؛ ۳۰٬۰۰۰ مخزن خصوصی کانتینر بدون مجوز در دسترس
محققان امنیتی Noscope یک آسیبپذیری بحرانی در Gitea، پلتفرم محبوب Git خودمیزبان، کشف کردهاند که به مهاجمان بدون احراز هویت اجازه میداد تصاویر کانتینری خصوصی را از نصبهای آسیبدیده دانلود کنند. این باگ که با شناسه CVE-2026-27771 ردیابی میشود، تمام نسخههای Gitea پیش از ۱.۲۶.۲ را تحت تأثیر قرار میدهد و نزدیک به چهار سال بدون شناسایی باقی مانده بود.
Gitea یک جایگزین Open Source برای GitHub است که توسط سازمانهایی استفاده میشود که میخواهند کد منبع و artifacts ساخت خود را در زیرساخت داخلی نگه دارند، نه روی پلتفرمهای ابری عمومی. ویژگی container registry آن – که برای ذخیره تصاویر Docker و OCI استفاده میشود – مؤلفه آسیبدیده بود.
این آسیبپذیری چه اجازهای میداد؟
این باگ یک شکست اساسی در کنترل دسترسی container registry گیتآ است. مهاجمی که فقط یک اتصال اینترنتی داشت میتوانست درخواستهای بدون احراز هویت بفرستد و تصاویر کانتینری خصوصی را دانلود کند – تصاویری که مالکان مخزن صریحاً آنها را خصوصی تنظیم کرده بودند. هیچ حساب کاربری، رمز عبور یا مجوز قبلی لازم نبود.
تصاویر کانتینری میتوانند حاوی اطلاعات حساس باشند: کد برنامه اختصاصی، ابزارهای داخلی، تنظیمات استقرار، متغیرهای محیطی و اسرار جاسازیشده. تصاویر خصوصی دقیقاً برای محدود کردن دسترسی به افراد مجاز طراحی شدهاند. این آسیبپذیری آن تعیینکننده را برای هر نصب Gitea با نسخه آسیبدیده بیمعنی کرد.
ابعاد افشا
تحقیقات Noscope بیش از ۳۰٬۰۰۰ نصب Gitea در بیش از ۳۰ کشور را شناسایی کرد که تحت تأثیر بودند، با بالاترین تراکم در چین، ایالات متحده، آلمان، فرانسه و بریتانیا. سازمانهای آسیبدیده شامل ارائهدهندگان مراقبتهای بهداشتی، تولیدکنندگان هوافضا، اپراتورهای زیرساخت خردهفروشی و ارائهدهندگان خدمات اینترنتی بودند.
دوره چهار ساله افشا بهویژه نگرانکننده است. هر تهدیدگری که در این بازه از این باگ مطلع میشد یا آن را خریداری میکرد، میتوانست بیصدا تصاویر کانتینری خصوصی را خارج کند بدون اینکه سیستمهای تشخیص نفوذ استاندارد فعال شوند – وقتی احراز هویت بهکلی دور زده میشود، هیچ تلاش ناموفق ورود برای ثبت وجود ندارد.
کاهش فوری و وصله
سازمانهایی که از Gitea استفاده میکنند باید فوراً به نسخه ۱.۲۶.۲ ارتقا دهند. برای نصبهایی که وصله فوری ممکن نیست، یک راهحل موقت وجود دارد: تنظیم REQUIRE_SIGNIN_VIEW=true در بخش [service] فایل پیکربندی Gitea تمام دسترسیهای registry را نیازمند احراز هویت میکند. توجه داشته باشید که این تنظیم روی مخازنی که عمداً عمومی هستند نیز تأثیر میگذارد.
Forgejo، فورک اجتماعی فعال Gitea، نیز تحت تأثیر همین آسیبپذیری است. سازمانهایی که از Forgejo استفاده میکنند باید توصیههای امنیتی آن پروژه را برای انتشار وصله مربوطه زیر نظر بگیرند و سریعاً اعمال کنند.
زمینه گستردهتر
زیرساخت Git خودمیزبان به هدف جذابی تبدیل شده است زیرا سازمانها کار توسعه حساس را از پلتفرمهای ابری عمومی دور کردهاند. برخلاف سرویسهای مدیریتشده که بهروزرسانیهای امنیتی خودکار دریافت میکنند، پلتفرمهای خودمیزبان نیاز به مدیریت وصله توسط خود سازمان دارند – مسئولیتی که همانطور که این آسیبپذیری نشان میدهد، در صورت ناسازگاری فرآیندهای مدیریت وصله میتواند به سالها افشا منجر شود.
دوره چهار ساله قبل از افشا سؤالاتی را در مورد تعداد سازمانهایی که ممیزی امنیتی از زیرساخت توسعه خودمیزبان خود انجام میدهند، ایجاد میکند. Container Registry اجزای حیاتی زنجیره تأمین نرمافزار مدرن هستند؛ نقض تصاویر خصوصی به معنای نقض مصنوعات نرمافزاری است که در سیستمهای تولید مستقر میشوند.
منبع: The Hacker News / Noscope Security Research, ۲۷ مه ۲۰۲۶
Originally reported by The Hacker News. Read the original article for additional details.
View original source