サイバーセキュリティ研究者たちは、バージョン管理のためのオープンソース、セルフホスト型プラットフォームである**Gitea**に重大なセキュリティ上の欠陥を発見しました。この脆弱性により、リモートの認証されていない攻撃者は、アカウント、パスワード、またはその他の認証手段を必要とせずに、脆弱な**Gitea**デプロイメントからプライベートコンテナイメージを取得できます。 ## 脆弱性の詳細 **CVE-2026-27771**（CVSSスコア：N/A）として追跡されているこの脆弱性は、1.26.2より前のすべての**Gitea**バージョンに影響します。最新バージョンはこの重大な問題を修正しています。ユーザーはバージョン1.26.2以降へのアップグレードを強く推奨します。 **Noscope**によると、このセキュリティ脆弱性は30カ国以上の30,000以上のデプロイメントに影響を与えた可能性があり、約4年間検出されずにいました。漏洩したインスタンスの大部分は、中国、米国、ドイツ、フランス、英国にあります。影響を受ける組織は、ヘルスケア、航空宇宙、小売、インターネットサービスプロバイダーなど、さまざまなセクターにわたっています。 「影響を受けるバージョンでは、コンテナリポジトリのプライベート指定が、オペレーターが合理的に期待する保護を提供していませんでした」と**Noscope**は述べています。 「**Gitea**のコンテナレジストリは、インターネット上の誰でも、アカウントなし、パスワードなし、事前のアクセスなしで、影響を受けるインスタンスから、一見するとプライベートコンテナイメージと見なされるものを、パブリックであるかのように取得することを許可していました。」 ## 影響と緩和策 英国を拠点とするセキュリティ企業は、**Gitea**のフォークも、そのメンテナーによって検証されるまで潜在的に脆弱であると見なすべきだと警告しています。例えば、**Forgejo**は影響を受けることが確認されています。  **Gitea**ユーザーは、最適な保護のために直ちにバージョン1.26.2にアップデートすることが求められています。パッチ適用がすぐに実行できない場合は、一時的な回避策として、**Gitea**設定ファイルで`[service].REQUIRE_SIGNIN_VIEW=true`を設定することが考えられます。ただし、一部のコンテナがパブリックアクセスを意図している場合は、この回避策が適さない可能性があることに注意してください。