Falha no Gitea expõe containers privados sem login há 4 anos

Falha no Gitea expõe containers privados

Uma vulnerabilidade crítica no Gitea, plataforma open-source de controle de versão usada por milhares de empresas, permitiu que qualquer pessoa na internet baixasse imagens de container marcadas como privadas — sem conta, senha ou qualquer credencial. A falha, catalogada como CVE-2026-27771 com score CVSS 8.2, afetou mais de 30.000 instâncias em ao menos 30 países e permaneceu invisível por quase quatro anos.

Como o ataque funcionava

O problema residia no container registry integrado do Gitea. Quando um operador marcava um repositório de container como “privado”, o sistema simplesmente ignorava essa configuração. Qualquer requisição pull anônima via API OCI/Docker era atendida como se a imagem fosse pública. Basta um comando docker pull apontando para o servidor Gitea vulnerável.

As imagens de container frequentemente contêm código-fonte, credenciais de banco de dados, chaves de API, certificados TLS, variáveis de ambiente com endpoints de produção e detalhes da infraestrutura. Em termos práticos, quem explora essa falha obtém o blueprint completo do ambiente produtivo da organização.

A configuração padrão de instalação do Gitea já era suficiente para que a vulnerabilidade se manifestasse. A empresa de segurança Noscope, sediada no Reino Unido, confirmou que o problema era reproduzível em um ambiente configurado exatamente como um operador típico faria.

Cronologia da vulnerabilidade

• ~2022: A falha é introduzida no código do container registry do Gitea.
• 25 de maio de 2026: Noscope divulga a vulnerabilidade após notificar os mantenedores.
• 20 de maio de 2026: Gitea lança versão 1.26.2 com o patch, creditando a Noscope.
• 27 de maio de 2026: Relatos indicam que mais de 30.000 instâncias ainda estavam expostas, sendo ~4.000 em sistemas de produção em clouds principais.

A pesquisa via Shodan revelou aproximadamente 34.000 instâncias Gitea voltadas para a internet. Desse total, 93% (31.750) rodavam versões vulneráveis. A maioria das exposições concentrava-se em China, EUA, Alemanha, França e Reino Unido, mas instâncias brasileiras também estão no mapa. O Forgejo, fork do Gitea, foi igualmente confirmado como afetado.

O que fazer agora

• Atualize imediatamente para Gitea 1.26.2 ou superior. É a correção definitiva.
• Se a atualização não for possível de imediato, adicione [service].REQUIRE_SIGNIN_VIEW=true no arquivo de configuração do Gitea. Atenção: isso torna todo o conteúdo acessível apenas para usuários autenticados, o que pode quebrar containers que precisam ser públicos.
• Rotacione secrets que possam ter sido empacotados em imagens de container nos últimos quatro anos: credenciais de banco, API keys, certificados TLS, tokens de CI/CD.
• Audite logs de acesso ao container registry buscando pulls anômalos ou de IPs desconhecidos, especialmente antes de maio de 2026.
• Verifique forks do Gitea: se sua organização usa Forgejo ou outro fork, confirme com os mantenedores se o patch já foi aplicado.
• Revise permissões de rede: instâncias Gitea não precisam obrigatoriamente ficar expostas à internet. Considere colocar o registry atrás de VPN ou em rede interna.

No contexto brasileiro, a exposição de dados sensíveis como código-fonte e credenciais de infraestrutura pode configurar incidente de segurança notificável sob a LGPD, especialmente se houver vazamento de dados pessoais armazenados nos containers. A ANPD recomenda que incidentes sejam documentados e, quando aplicável, notificados à autoridade e aos titulares.

Fontes

• The Hacker News – Gitea Vulnerability Exposes Private Container Images
• SecurityWeek – Gitea Vulnerability Exposed 30,000 Deployments to Attacks
• Tech Times – Gitea Flaw Left 30,000 Deployments’ Private Container Images Readable for 4 Years