Cybersecurity-Forscher haben eine bedeutende Sicherheitslücke in **Gitea**, einer Open-Source-Plattform für Versionskontrolle zum Selbsthosten, aufgedeckt. Diese Schwachstelle ermöglicht es entfernten, nicht authentifizierten Angreifern, private Container-Images von anfälligen **Gitea**-Installationen abzurufen, ohne ein Konto, ein Passwort oder eine andere Form der Authentifizierung zu benötigen. ## Details zur Schwachstelle Die Schwachstelle, die unter **CVE-2026-27771** (CVSS-Score: N/A) verfolgt wird, betrifft alle **Gitea**-Versionen vor 1.26.2. Die neueste Version behebt dieses kritische Problem. Benutzern wird dringend empfohlen, auf Version 1.26.2 oder höher zu aktualisieren. Laut **Noscope** hat die Sicherheitslücke potenziell über 30.000 Installationen in mehr als 30 Ländern betroffen und blieb etwa vier Jahre lang unentdeckt. Die Mehrheit der exponierten Instanzen befindet sich in China, den USA, Deutschland, Frankreich und dem Vereinigten Königreich. Betroffene Organisationen umfassen verschiedene Sektoren, darunter das Gesundheitswesen, die Luft- und Raumfahrt, den Einzelhandel und Internetdienstanbieter. "Auf betroffenen Versionen lieferte die private Kennzeichnung eines Container-Repositorys nicht den Schutz, den Betreiber vernünftigerweise erwartet hätten", erklärte **Noscope**. "Die Container-Registry von **Gitea** hat es jeder Person im Internet, ohne Konto, ohne Passwort und ohne vorherigen Zugriff, ermöglicht, was auf den ersten Blick als private Container-Images gelten würde, von betroffenen Instanzen abzurufen, als wären sie öffentlich." ## Auswirkungen und Abhilfemaßnahmen Die in Großbritannien ansässige Sicherheitsfirma warnt auch, dass jeder Fork von **Gitea** als potenziell anfällig betrachtet werden sollte, bis dies von seinen Maintainern bestätigt wurde. **Forgejo** wurde beispielsweise als betroffen bestätigt.  **Gitea**-Benutzer werden dringend aufgefordert, sofort auf Version 1.26.2 zu aktualisieren, um optimalen Schutz zu gewährleisten. Wenn ein Patch nicht sofort möglich ist, besteht eine vorübergehende Abhilfemaßnahme darin, `[service].REQUIRE_SIGNIN_VIEW=true` in der **Gitea**-Konfigurationsdatei zu setzen. Beachten Sie jedoch, dass diese Abhilfemaßnahme möglicherweise nicht geeignet ist, wenn einige Container für den öffentlichen Zugriff bestimmt sind.