Исследователи в области кибербезопасности сообщили о серьезной уязвимости в Gitea — открытой платформе для управления версиями, которая может быть развернута на собственных серверах. Уязвимость позволяет неаутентифицированным удаленным злоумышленникам извлекать приватные контейнерные образы из установок Gitea без необходимости в учетной записи, пароле или других учетных данных.

Данная уязвимость получила идентификатор CVE-2026-27771 и затрагивает все версии Gitea, выпущенные до 1.26.2. Это означает, что пользователи, не обновившие своё программное обеспечение до указанной версии, подвергаются риску утечки конфиденциальной информации.

Проблема заключается в недостаточной защите доступа к приватным контейнерным образам, что создает возможность для злоумышленников использовать эту уязвимость для извлечения данных, которые должны быть защищены.

Эксперты рекомендуют всем пользователям Gitea немедленно обновить свои установки до последней версии, чтобы устранить данный риск. Также важно рассмотреть возможность применения дополнительных мер безопасности, таких как ограничение доступа к Gitea через сетевые политики.

Данная ситуация подчеркивает важность регулярного обновления программного обеспечения и оценки рисков, связанных с использованием открытых платформ для разработки. Компании и разработчики должны быть особенно внимательны к вопросам безопасности, чтобы предотвратить потенциальные атаки на свои системы.

Источник новости:
The Hacker News

Читать полностью