文章总结： Gitea开源版本控制平台存在容器镜像泄露漏洞CVE-2026-27771，允许未认证攻击者直接拉取私有镜像，影响全球超3万实例。漏洞存在于1.26.2之前版本，CVSS评分8.2，涉及医疗、航天等关键行业。建议立即升级至1.26.2版本，或临时设置REQUIRESIGNINVIEW为true缓解风险。 综合评分： 85 文章分类： 漏洞预警,网络安全,云安全,应用安全,供应链安全

【安全圈】Gitea 漏洞无需身份验证即可暴露私有容器镜像

安全圈

2026年5月28日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

网络安全研究人员披露了开源自托管版本控制平台 Gitea 中的一个安全漏洞，该漏洞允许未经过身份验证的远程攻击者无需账户、密码或其他凭证即可从 Gitea 部署实例中拉取私有容器镜像。 该漏洞被追踪为 CVE-2026-27771（CVSS 评分：8.2），影响 1.26.2 之前的所有 Gitea 版本，1.26.2 版本已修复该问题。

根据 Noscope 的说法，该安全缺陷可能影响分布在 30 多个国家的超过 3 万个部署实例，并且在近四年的时间里未被发现。绝大多数暴露实例位于美国、德国、法国和英国。受影响的组织涵盖医疗保健提供商、航空航天制造商、零售基础设施和互联网服务提供商。

Noscope 表示：“在受影响的版本上，容器存储库的私有标记并未提供运营者合理预期的保护。” “Gitea 的容器注册表允许互联网上的任何人，在没有账户、没有密码、没有任何预先访问权限的情况下，从受影响实例中拉取那些乍看之下应属于私有的容器镜像，就如同它们是公开镜像一样。”

这家总部位于英国的安全公司还指出，任何 Gitea 的分支都应被视为可能受到该漏洞影响，直到各自维护者进行了独立验证。在其自身测试中，Forgejo 已被确认受到影响。

目前尚未提供与 CVE-2026-27771 相关的更多技术细节。Noscope 联合创始人 Keval Jagani 在接受 The Hacker News 采访时表示，细节被故意保留是为了给“更广泛的 Gitea 生态系统留出时间进行补丁修复。”

建议 Gitea 用户更新到版本 1.26.2 以获得最佳保护。如果无法立即进行补丁修复，临时解决方法是在 Gitea 配置中将 [service].REQUIRE_SIGNIN_VIEW 设置为 true。但值得注意的是，如果某些容器原本就是有意公开暴露的，这种方法并不理想。

END

阅读推荐

【安全圈】滴滴崩了？最新回应！

【安全圈】PC 玩家等不及要玩《GTA6》，黑客借此大肆传播恶意软件与钓鱼诈骗

【安全圈】伊朗黑客通过网络钓鱼和 SEO 投毒部署 MiniFast 和 MiniJunk V2

【安全圈】微软 Copilot Cowork 智能体 AI 曝安全风险，机密文件恐外泄

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】Gitea 漏洞无需身份验证即可暴露私有容器镜像》