Investigadores de ciberseguridad han descubierto una importante falla de seguridad en **Gitea**, una plataforma de código abierto y autohospedada para control de versiones. Esta vulnerabilidad permite a atacantes remotos no autenticados descargar imágenes privadas de contenedores desde implementaciones vulnerables de **Gitea** sin necesidad de una cuenta, contraseña o cualquier otra forma de autenticación. ## Detalles de la Vulnerabilidad La vulnerabilidad, rastreada como **CVE-2026-27771** (puntuación CVSS: N/A), afecta a todas las versiones de **Gitea** anteriores a la 1.26.2. La versión más reciente aborda este problema crítico. Se recomienda encarecidamente a los usuarios que actualicen a la versión 1.26.2 o posterior. Según **Noscope**, la vulnerabilidad de seguridad ha impactado potencialmente a más de 30,000 implementaciones en más de 30 países, permaneciendo sin detectar durante aproximadamente cuatro años. La mayoría de las instancias expuestas se encuentran en China, EE. UU., Alemania, Francia y el Reino Unido. Las organizaciones afectadas abarcan diversos sectores, incluyendo salud, aeroespacial, minorista y proveedores de servicios de internet. "En las versiones afectadas, la designación privada en un repositorio de contenedor no proporcionó la protección que los operadores esperaban razonablemente", afirmó **Noscope**. "El registro de contenedores de **Gitea** ha permitido que cualquier persona en Internet, sin cuenta, sin contraseña y sin acceso previo, descargue lo que a primera vista parecerían ser imágenes de contenedores privadas de instancias afectadas como si fueran públicas." ## Impacto y Mitigación La firma de seguridad con sede en el Reino Unido también advierte que cualquier fork de **Gitea** debe considerarse potencialmente vulnerable hasta que sea verificado por sus mantenedores. **Forgejo**, por ejemplo, ha sido confirmado como afectado.  Se insta a los usuarios de **Gitea** a actualizar a la versión 1.26.2 inmediatamente para una protección óptima. Si la aplicación de parches no es factible de inmediato, una solución temporal implica establecer `[service].REQUIRE_SIGNIN_VIEW=true` en el archivo de configuración de **Gitea**. Sin embargo, tenga en cuenta que esta solución temporal podría no ser adecuada si algunos contenedores están destinados al acceso público.