Des chercheurs en cybersécurité ont découvert une faille de sécurité importante dans **Gitea**, une plateforme open-source auto-hébergée pour le contrôle de version. Cette vulnérabilité permet à des attaquants distants non authentifiés de télécharger des images de conteneurs privées à partir de déploiements **Gitea** vulnérables, sans avoir besoin d'un compte, d'un mot de passe ou de toute autre forme d'authentification. ## Détails de la vulnérabilité La vulnérabilité, suivie sous la référence **CVE-2026-27771** (score CVSS : N/A), affecte toutes les versions de **Gitea** antérieures à la 1.26.2. La dernière version corrige ce problème critique. Il est fortement recommandé aux utilisateurs de mettre à jour vers la version 1.26.2 ou une version ultérieure. Selon **Noscope**, la vulnérabilité de sécurité a potentiellement touché plus de 30 000 déploiements dans plus de 30 pays, restant indétectée pendant environ quatre ans. La majorité des instances exposées se trouvent en Chine, aux États-Unis, en Allemagne, en France et au Royaume-Uni. Les organisations affectées couvrent divers secteurs, notamment la santé, l'aérospatiale, la vente au détail et les fournisseurs de services Internet. "Sur les versions affectées, la désignation privée d'un dépôt de conteneur n'offrait pas la protection que les opérateurs attendaient raisonnablement", a déclaré **Noscope**. "Le registre de conteneurs de **Gitea** a permis à toute personne sur Internet, sans compte, sans mot de passe et sans accès préalable, de télécharger ce qui semblait être des images de conteneurs privées à partir d'instances affectées, comme s'il s'agissait d'images publiques." ## Impact et atténuation La société de sécurité basée au Royaume-Uni avertit également que toute fork de **Gitea** doit être considérée comme potentiellement vulnérable jusqu'à vérification par ses mainteneurs. **Forgejo**, par exemple, a été confirmé comme étant affecté.  Les utilisateurs de **Gitea** sont instamment priés de mettre à jour vers la version 1.26.2 immédiatement pour une protection optimale. Si la mise à jour n'est pas immédiatement réalisable, une solution de contournement temporaire consiste à définir `[service].REQUIRE_SIGNIN_VIEW=true` dans le fichier de configuration de **Gitea**. Cependant, gardez à l'esprit que cette solution de contournement peut ne pas convenir si certains conteneurs sont destinés à un accès public.