🌟 Atualização imperdível para quem gosta de estar bem informado!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética revelaram uma falha de segurança no Gitea, uma plataforma auto-hospedada de código aberto para controle de versão, que permite que invasores remotos não autenticados extraiam imagens de contêineres privados de implantações do Gitea sem exigir uma conta, senha ou outras credenciais.
A vulnerabilidade, rastreada como CVE-2026-27771 (pontuação CVSS: N/A), afeta todas as versões do Gitea anteriores à 1.26.2, que resolve o problema.
De acordo com a Noscope, o defeito de segurança provavelmente impactará mais de 30.000 implantações em mais de 30 países e passou despercebido por quase quatro anos. A grande maioria das exposições ocorre na China, nos EUA, na Alemanha, na França e no Reino Unido. As organizações afetadas abrangem prestadores de cuidados de saúde, fabricantes aeroespaciais, infraestruturas de retalho e fornecedores de serviços de Internet.
“Nas versões afetadas, a designação privada em um repositório de contêineres não forneceu a proteção que os operadores razoavelmente esperavam”, disse Noscope.
“O registro de contêineres do Gitea permitiu que qualquer pessoa na Internet, sem conta, senha e sem acesso prévio, extraísse o que à primeira vista seriam consideradas imagens de contêineres privadas das instâncias afetadas, como se fossem públicas”.
A empresa de segurança sediada no Reino Unido também apontou que qualquer fork do Gitea deve ser tratado como potencialmente impactado pela vulnerabilidade até que seja verificado de forma independente pelos respectivos mantenedores. Em seus próprios testes, foi confirmado que Forgejo foi impactado. Nenhum detalhe técnico adicional está disponível atualmente.
Os usuários do Gitea são aconselhados a atualizar para a versão 1.6.2 para proteção ideal. Se a correção não for uma opção imediata, uma solução temporária é definir [service].REQUIRE_SIGNIN_VIEW=true na configuração do Gitea. No entanto, vale a pena notar que esta abordagem não é ideal se alguns contêineres forem intencionalmente expostos publicamente.
A vulnerabilidade, rastreada como CVE-2026-27771 (pontuação CVSS: N/A), afeta todas as versões do Gitea anteriores à 1.26.2, que resolve o problema.
De acordo com a Noscope, o defeito de segurança provavelmente impactará mais de 30.000 implantações em mais de 30 países e passou despercebido por quase quatro anos. A grande maioria das exposições ocorre na China, nos EUA, na Alemanha, na França e no Reino Unido. As organizações afetadas abrangem prestadores de cuidados de saúde, fabricantes aeroespaciais, infraestruturas de retalho e fornecedores de serviços de Internet.
“Nas versões afetadas, a designação privada em um repositório de contêineres não forneceu a proteção que os operadores razoavelmente esperavam”, disse Noscope.
“O registro de contêineres do Gitea permitiu que qualquer pessoa na Internet, sem conta, senha e sem acesso prévio, extraísse o que à primeira vista seriam consideradas imagens de contêineres privadas das instâncias afetadas, como se fossem públicas”.
A empresa de segurança sediada no Reino Unido também apontou que qualquer fork do Gitea deve ser tratado como potencialmente impactado pela vulnerabilidade até que seja verificado de forma independente pelos respectivos mantenedores. Em seus próprios testes, foi confirmado que Forgejo foi impactado. Nenhum detalhe técnico adicional está disponível atualmente.
Os usuários do Gitea são aconselhados a atualizar para a versão 1.6.2 para proteção ideal. Se a correção não for uma opção imediata, uma solução temporária é definir [service].REQUIRE_SIGNIN_VIEW=true na configuração do Gitea. No entanto, vale a pena notar que esta abordagem não é ideal se alguns contêineres forem intencionalmente expostos publicamente.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #vulnerabilidade #do #gitea #expõe #imagens #de #contêineres #privados #sem #autenticação
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário