PT-2026-43391 · Gitea · Gitea

Devnoscope

·

Publicado

2026-04-19

·

Atualizado

2026-07-11

·

CVE-2026-27771

CVSS v3.1

8.2

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas Gitea versões anteriores a 1.26.2 Forgejo versões anteriores a 1.26.2
Description Um problema crítico de controle de acesso no registro de contêineres permite que atacantes remotos não autenticados extraiam imagens de contêineres privadas sem credenciais. O sistema não aplicou corretamente a flag private, fazendo com que o registro fornecesse imagens em resposta a solicitações anônimas padrão do Docker/OCI via API do registro. Esta falha existiu por aproximadamente quatro anos e afetou potencialmente mais de 30.000 implantações em todo o mundo, incluindo cerca de 4.000 sistemas de produção em grandes plataformas de nuvem. A exploração pode levar à exposição de informações sensíveis, como código-fonte, segredos e detalhes de infraestrutura.
Recommendations Atualize para a versão 1.26.2 ou posterior. Como solução temporária, habilite REQUIRE SIGNIN VIEW para forçar a autenticação no acesso a todo o conteúdo.

Exploit

Correção

Missing Authorization

Missing Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2026-07479
CVE-2026-27771
GHSA-8QW8-RQ86-9PC2

Produtos afetados

Gitea