Lỗ hổng Gitea phơi bày 30.000 hệ thống trước nguy cơ bị tấn công

Một lỗ hổng bảo mật trong dịch vụ Git mã nguồn mở tự lưu trữ (self-hosted) Gitea có thể đã cho phép những kẻ tấn công chưa được xác thực trích xuất các hình ảnh container riêng tư từ hơn 30.000 bản triển khai. Cảnh báo này được đưa ra bởi công ty kiểm thử xâm nhập (pentest) sử dụng AI NoScope.

Bảo mật

Lỗi bảo mật này được theo dõi dưới mã định danh CVE-2026-27771, được mô tả là một vấn đề kiểm soát truy cập ảnh hưởng đến sổ đăng ký container (container registry) tích hợp sẵn của Gitea. Forgejo, một nền tảng chia sẻ mã triển khai tương tự, cũng bị ảnh hưởng. Các bản fork (nhánh phát triển) khác có nguồn gốc từ Gitea cũng có thể gặp phải rủi ro này.

Do lỗi này, các yêu cầu xác thực đối với những hình ảnh được đánh dấu là riêng tư (private) không được thực thi. Hệ thống sổ đăng ký container vẫn phục vụ chúng khi phản hồi các yêu cầu kéo (pull request) ẩn danh tiêu chuẩn của Docker/OCI gửi tới API của sổ đăng ký.

Logo SecurityWeek

Theo NoScope, lỗi bảo mật này đã ẩn nấp trong mã nguồn của Gitea trong khoảng bốn năm trước khi được khắc phục trong phiên bản 1.26.2, phiên bản được phát hành vào tuần trước.

"Sổ đăng ký container của Gitea đã cho phép bất kỳ ai trên internet, không cần tài khoản, không cần mật khẩu và không cần quyền truy cập trước đó, có thể kéo những hình ảnh container ban đầu được coi là riêng tư từ các phiên bản bị ảnh hưởng như thể chúng là công khai," NoScope cho biết.

Vì các hình ảnh container có thể chứa thông tin nhạy cảm như mã nguồn, bí mật (secrets) và chi tiết hạ tầng sản xuất, tác động của lỗi này là rất đáng kể.

Theo dữ liệu từ NoScope, một tìm kiếm trên Shodan đã phát hiện hơn 34.000 phiên bản Gitea tiếp xúc trực tiếp với internet. Trong số này, khoảng 93%, tương đương 31.750 phiên bản, có khả năng bị tổn thương.

Phân tích các bản triển khai có khả năng bị ảnh hưởng cho thấy khoảng 4.000 hệ thống đang chạy trên các nền tảng đám mây lớn hoặc VPS. NoScope cho biết khoảng 7.000 phiên bản khác đang chạy trên cổng mặc định của Gitea.

"Dữ liệu rất rõ ràng. Đây không phải là những máy tính dành cho sở thích. Đây là những tổ chức đã đưa ra quyết định có chủ đích tự lưu trữ hạ tầng phát triển của họ, chạy nó trên tài nguyên tính toán cấp sản xuất, cho các khối lượng công việc thực tế," công ty pentest AI này nhận định.

Các tổ chức được khuyên nên cập nhật ngay lên phiên bản Gitea 1.26.2, hoặc thay đổi cài đặt cấu hình để yêu cầu xác thực cho mọi quyền truy cập nội dung.

"Lưu ý rằng cài đặt này không phù hợp với các phiên bản cố tình phơi bày một số container công khai; những người vận hành trong tình huống đó nên cân nhắc kỹ sự đánh đổi," NoScope khuyến cáo.