Lỗ hổng nghiêm trọng trên Gitea cho phép truy cập trái phép vào private container images

Các nhà nghiên cứu bảo mật vừa phát hiện một lỗ hổng nghiêm trọng trong Gitea, nền tảng quản lý phiên bản (version control) mã nguồn mở tự lưu trữ (self-hosted). Lỗ hổng này cho phép kẻ tấn công từ xa truy cập và tải xuống các private container images mà không cần tài khoản, mật khẩu hay bất kỳ thông tin xác thực nào.

Lỗ hổng được định danh là CVE-2026-27771, ảnh hưởng đến tất cả các phiên bản Gitea trước 1.26.2. Theo báo cáo từ công ty bảo mật Noscope, lỗi này đã tồn tại trong gần 4 năm mà không bị phát hiện, gây ảnh hưởng đến hơn 30.000 server tại hơn 30 quốc gia, bao gồm các lĩnh vực trọng yếu như y tế, hàng không vũ trụ, bán lẻ và các nhà cung cấp dịch vụ internet.

Về cơ bản, cơ chế bảo mật của container registry trên Gitea đã thất bại trong việc kiểm soát quyền truy cập. Những hình ảnh được đánh dấu là “private” thực tế lại bị phơi bày công khai, cho phép bất kỳ ai trên internet cũng có thể tải về như các tài nguyên public thông thường.

Các chuyên gia cũng cảnh báo rằng bất kỳ bản fork nào của Gitea cũng cần được kiểm tra kỹ lưỡng. Trong quá trình thử nghiệm, nền tảng Forgejo cũng được xác nhận là bị ảnh hưởng bởi lỗ hổng này.

Khuyến nghị bảo mật

Người dùng Gitea cần thực hiện các bước sau để đảm bảo an toàn:

• Cập nhật ngay lập tức: Nâng cấp lên phiên bản 1.26.2 để vá lỗi triệt để.
• Giải pháp tạm thời: Nếu chưa thể cập nhật ngay, quản trị viên có thể thiết lập cấu hình [service].REQUIRE_SIGNIN_VIEW=true trong tệp cấu hình của Gitea. Tuy nhiên, cần lưu ý rằng phương pháp này sẽ chặn quyền truy cập đối với tất cả các container, kể cả những container mà bạn muốn chia sẻ công khai.

Nguồn tham khảo: The Hacker News