Pesquisadores de cibersegurança descobriram uma falha de segurança significativa no **Gitea**, uma plataforma de controle de versão de código aberto e auto-hospedada. Esta vulnerabilidade permite que atacantes remotos não autenticados puxem imagens privadas de contêineres de implantações vulneráveis do **Gitea** sem a necessidade de uma conta, senha ou qualquer outra forma de autenticação. ## Detalhes da Vulnerabilidade A vulnerabilidade, rastreada como **CVE-2026-27771** (pontuação CVSS: N/A), afeta todas as versões do **Gitea** anteriores à 1.26.2. A versão mais recente aborda essa questão crítica. Os usuários são fortemente aconselhados a atualizar para a versão 1.26.2 ou posterior. De acordo com a **Noscope**, a vulnerabilidade de segurança impactou potencialmente mais de 30.000 implantações em mais de 30 países, permanecendo indetectada por aproximadamente quatro anos. A maioria das instâncias expostas está localizada na China, EUA, Alemanha, França e Reino Unido. As organizações afetadas abrangem vários setores, incluindo saúde, aeroespacial, varejo e provedores de serviços de internet. "Nas versões afetadas, a designação privada em um repositório de contêineres não ofereceu a proteção que os operadores razoavelmente esperavam", afirmou a **Noscope**. "O registro de contêineres do **Gitea** permitiu que qualquer pessoa na internet, sem conta, sem senha e sem acesso prévio, puxasse o que seria considerado imagens privadas de contêineres à primeira vista de instâncias afetadas como se fossem públicas." ## Impacto e Mitigação A empresa de segurança sediada no Reino Unido também alerta que qualquer fork do **Gitea** deve ser considerado potencialmente vulnerável até ser verificado por seus mantenedores. O **Forgejo**, por exemplo, foi confirmado como impactado.  Os usuários do **Gitea** são instados a atualizar para a versão 1.26.2 imediatamente para obter proteção ideal. Se a aplicação de patches não for imediatamente viável, uma solução temporária envolve definir `[service].REQUIRE_SIGNIN_VIEW=true` no arquivo de configuração do **Gitea**. No entanto, esteja ciente de que essa solução pode não ser adequada se alguns contêineres forem destinados ao acesso público.