Une faille critique dans Gitea a exposé 30 000 dépôts de conteneurs privés sans authentification

Des chercheurs en cybersécurité de Noscope ont révélé une vulnérabilité critique de contournement d'authentification dans Gitea, la plateforme Git auto-hébergée largement utilisée, qui permettait à des attaquants non authentifiés de télécharger des images de conteneurs privées depuis des installations affectées. Identifiée sous la référence CVE-2026-27771, cette faille affecte toutes les versions de Gitea antérieures à la 1.26.2 et est passée inaperçue pendant près de quatre ans.

Gitea est une alternative Open Source à GitHub, déployée par des organisations souhaitant conserver leur code source et leurs artefacts de build dans leur propre infrastructure plutôt que sur des plateformes cloud publiques. La fonctionnalité de registre de conteneurs — utilisée pour stocker les images Docker et OCI — était le composant concerné.

Ce que la vulnérabilité permettait

La faille représente un échec fondamental du contrôle d'accès dans le registre de conteneurs de Gitea. Un attaquant, armé d'une simple connexion internet, pouvait envoyer des requêtes non authentifiées pour extraire des images de conteneurs privées — des images que les propriétaires de dépôts avaient explicitement configurées comme privées. Aucun compte, aucun identifiant, aucune autorisation préalable n'étaient requis.

Les images de conteneurs peuvent contenir des éléments sensibles : code applicatif propriétaire, outils internes, configurations de déploiement, variables d'environnement et secrets embarqués. Les images privées sont spécifiquement conçues pour restreindre l'accès aux parties autorisées. La vulnérabilité a rendu cette désignation insignifiante pour tout déploiement Gitea fonctionnant sous une version affectée.

Étendue de l'exposition

Les recherches de Noscope ont identifié plus de 30 000 déploiements Gitea dans plus de 30 pays qui étaient concernés, avec les plus fortes concentrations en Chine, aux États-Unis, en Allemagne, en France et au Royaume-Uni. Les organisations touchées incluent des prestataires de soins de santé, des fabricants aérospatiaux, des opérateurs d'infrastructures de vente au détail et des fournisseurs d'accès internet.

La fenêtre d'exposition de près de quatre ans est particulièrement préoccupante. Tout acteur malveillant qui aurait découvert ou acheté la connaissance de cette faille pendant cette période aurait pu exfiltrer silencieusement des images de conteneurs privées sans déclencher les systèmes de détection d'intrusion standard — il n'y a pas de tentatives d'authentification échouées à journaliser lorsque l'authentification est entièrement contournée.

Mitigation immédiate et correctif

Les organisations utilisant Gitea doivent passer immédiatement à la version 1.26.2. Pour les déploiements où un correctif immédiat n'est pas possible, une mitigation temporaire est disponible : définir REQUIRE_SIGNIN_VIEW=true dans la section [service] du fichier de configuration de Gitea force tout accès au registre à exiger une authentification. Notez que ce paramètre affectera également les dépôts intentionnellement publics.

Forgejo, le fork communautaire activement maintenu de Gitea, est également touché par la même vulnérabilité. Les organisations utilisant Forgejo doivent surveiller les avis de sécurité de ce projet pour un correctif correspondant et l'appliquer rapidement.

Contexte plus large

L'infrastructure Git auto-hébergée est devenue une cible de plus en plus attractive à mesure que les organisations ont déplacé le travail de développement sensible loin des plateformes cloud publiques. Contrairement aux services managés qui reçoivent des mises à jour de sécurité automatiques, les plateformes auto-hébergées exigent que les organisations gèrent elles-mêmes les correctifs — une responsabilité qui, comme cette vulnérabilité le démontre, peut entraîner des années d'exposition lorsque les pratiques de gestion des correctifs sont incohérentes.

La fenêtre de quatre ans avant la divulgation soulève également des questions sur le nombre d'organisations qui réalisent des audits de sécurité de leur infrastructure de développement auto-hébergée. Les registres de conteneurs sont des composants critiques des chaînes d'approvisionnement logicielles modernes ; une brèche dans les images privées est une brèche dans les artefacts logiciels qui sont déployés en production.

Source : The Hacker News / Noscope Security Research, 27 mai 2026