Falha crítica no Gitea expôs 30 mil repositórios privados de contêineres a acesso não autenticado

Pesquisadores de cibersegurança da Noscope revelaram uma vulnerabilidade crítica de bypass de autenticação no Gitea, a plataforma Git auto-hospedada amplamente utilizada, que permitia que atacantes não autenticados baixassem imagens privadas de contêineres de instalações afetadas. A falha, rastreada como CVE-2026-27771, afeta todas as versões do Gitea anteriores à 1.26.2 e passou despercebida por quase quatro anos.

O Gitea é uma alternativa open source ao GitHub, implantado por organizações que desejam manter seu código-fonte e artefatos de build dentro de sua própria infraestrutura, em vez de em plataformas de nuvem pública. Seu recurso de registro de contêineres — usado para armazenar imagens Docker e OCI — foi o componente afetado.

O que a vulnerabilidade permitia

A falha representa uma falha fundamental de controle de acesso no registro de contêineres do Gitea. Um atacante com nada mais que uma conexão de internet podia enviar requisições não autenticadas para puxar imagens privadas de contêineres — imagens que os proprietários dos repositórios configuraram explicitamente como privadas. Nenhuma conta, credencial ou autorização prévia era necessária.

Imagens de contêiner podem conter material sensível: código de aplicativo proprietário, ferramentas internas, configurações de implantação, variáveis de ambiente e segredos embutidos. Imagens privadas são especificamente destinadas a restringir o acesso a partes autorizadas. A vulnerabilidade tornou essa designação sem sentido para qualquer implantação do Gitea executando uma versão afetada.

Escala da exposição

A pesquisa da Noscope identificou mais de 30 mil implantações do Gitea em mais de 30 países que foram afetadas, com as maiores concentrações na China, Estados Unidos, Alemanha, França e Reino Unido. As organizações afetadas abrangem prestadores de serviços de saúde, fabricantes aeroespaciais, operadores de infraestrutura de varejo e provedores de serviços de internet.

A janela de exposição de quase quatro anos é particularmente preocupante. Qualquer agente malicioso que descobriu ou comprou conhecimento dessa falha durante esse período poderia estar exfiltrando silenciosamente imagens privadas de contêineres sem acionar sistemas padrão de detecção de intrusão — não há tentativas de autenticação falhas para registrar quando a autenticação é completamente ignorada.

Mitigação imediata e correção

Organizações que executam o Gitea devem atualizar para a versão 1.26.2 imediatamente. Para implantações onde a correção imediata não é possível, uma mitigação temporária está disponível: definir REQUIRE_SIGNIN_VIEW=true na seção [service] do arquivo de configuração do Gitea força todo acesso ao registro a exigir autenticação. Observe que essa configuração também afetará qualquer repositório intencionalmente público.

Forgejo, o fork comunitário ativamente mantido do Gitea, também é afetado pela mesma vulnerabilidade. Organizações que usam o Forgejo devem monitorar os avisos de segurança desse projeto para um lançamento de correção correspondente e aplicá-lo prontamente.

Contexto mais amplo

A infraestrutura Git auto-hospedada se tornou um alvo cada vez mais atraente à medida que as organizações transferem o trabalho de desenvolvimento sensível para longe das plataformas de nuvem pública. Ao contrário dos serviços gerenciados que recebem atualizações automáticas de segurança, as plataformas auto-hospedadas exigem que as organizações gerenciem a correção por conta própria — uma responsabilidade que, como esta vulnerabilidade demonstra, pode resultar em anos de exposição quando as práticas de gerenciamento de patches são inconsistentes.

A janela de quatro anos antes da divulgação também levanta questões sobre quantas organizações realizam auditorias de segurança de sua infraestrutura de desenvolvimento auto-hospedada. Os registros de contêineres são componentes críticos das cadeias de suprimento de software modernas; uma violação de imagens privadas é uma violação dos artefatos de software que são implantados em sistemas de produção.

Fonte: The Hacker News / Noscope Security Research, 27 de maio de 2026