網路安全研究人員揭露了開啟源自託管版本控制平台 Gitea 中的安全漏洞，該漏洞允許未經身份驗證的遠端攻擊者從 Gitea 部署中拉取私有容器鏡像，而無需帳戶、密碼或其他憑證。此漏洞編號為 CVE-2026-27771（CVSS 評分：N/A），影響1.26.2之前的所有 Gitea 版本，該版本已修復此問題。

據Noscope稱，該安全漏洞可能影響超過30個國家的3萬多個部署，並且近四年來一直未被發現。絕大多數受影響的系統位於中國、美國、德國、法國和英國。受影響的機構涵蓋醫療保健提供者、航空航太製造商、零售基礎設施和互聯網服務提供者等。

Gitea 的容器註冊表允許互聯網上的任何人，無需帳戶、密碼或事先存取權限，即可從受影響的實例中提取乍一看被認為是私有的容器鏡像，就好像它們是公開的一樣。

這家總部位於英國的安全公司還指出，在相關維護者進行獨立驗證之前，任何 Gitea 的分支版本都應被視為可能受到漏洞的影響。經其自身測試，Forgejo 已確認受到影響。目前尚無更多技術細節。

建議 Gitea 用戶更新至 1.6.2 版本以獲得最佳保護。如果暫時無法進行補丁更新，一個臨時解決方案是在 Gitea 配置中設定 [service].REQUIRE_SIGNIN_VIEW=true。但是，需要注意的是，如果某些容器需要公開存取，則此方法並非理想之選。

資料來源：https://thehackernews.com/2026/05/gitea-vulnerability-exposes-private.html