Podatność w projekcie Gitea

Zespół CERT Polska informuje o podatności w projekcie Gitea, która umożliwia nieuwierzytelnionym użytkownikom pobieranie prywatnych obrazów Docker. Podatność oznaczona jest identyfikatorem CVE-2026-27771 i została usunięta w wersji 1.26.2.

W przypadku braku możliwości przeprowadzenia aktualizacji zalecamy zastosowanie rozwiązania tymczasowego polegającego na włączeniu opcji „Require Sign-In to View Pages”.

Kod umożliwiający wykorzystanie podatności jest już publicznie dostępny, co znacząco zwiększa ryzyko jej wykorzystania. Rekomendujemy analizę logów w celu weryfikacji, czy nie doszło do nieautoryzowanego dostępu do zasobów.

W przypadku korzystania z podatnej wersji Gitea zalecamy jak najszybszą aktualizację do najnowszej dostępnej wersji.

Informacje o najnowszej aktualizacji mogą Państwo znaleźć na stronie producenta: https://blog.gitea.com/release-of-1.26.2/