كشف باحثون في الأمن السيبراني عن ثغرة خطيرة في منصة Gitea مفتوحة المصدر والمستضافة ذاتياً لإدارة الإصدارات، تسمح للمهاجمين عن بُعد بسحب صور الحاويات الخاصة دون الحاجة إلى حساب أو كلمة مرور أو أي بيانات اعتماد. الثغرة تحمل الرمز CVE-2026-27771 وتؤثر على جميع إصدارات Gitea قبل الإصدار 1.26.2 الذي عالج المشكلة.
تفاصيل الثغرة وأثرها
وفقاً لشركة Noscope، فإن الثغرة تعني أن خاصية “الخاص” في مستودعات الحاويات لم تكن توفر الحماية المتوقعة، حيث يمكن لأي شخص على الإنترنت تحميل الصور الخاصة كما لو كانت عامة.
التقديرات تشير إلى أن أكثر من 30,000 عملية نشر في أكثر من 30 دولة تأثرت بهذه الثغرة، وظلت غير مكتشفة لما يقارب أربع سنوات. الدول الأكثر تعرضاً تشمل الصين، الولايات المتحدة، ألمانيا، فرنسا، والمملكة المتحدة، مع مؤسسات متضررة في قطاعات مثل الرعاية الصحية، صناعة الطيران، البنية التحتية للبيع بالتجزئة، ومزودي خدمات الإنترنت.
تأثير على المشاريع المتفرعة
أشارت الشركة البريطانية إلى أن أي نسخة متفرعة (Fork) من Gitea يجب اعتبارها متأثرة حتى يتم التحقق منها بشكل مستقل من قبل القائمين عليها. في الاختبارات، تم تأكيد أن مشروع Forgejo متأثر بالثغرة أيضاً.
التوصيات والحلول
ينصح مستخدمو Gitea بالخطوات التالية:
- تحديث المنصة فوراً إلى الإصدار 1.26.2 لضمان الحماية.
- تفعيل خيار REQUIRE_SIGNIN_VIEW في ملف الإعدادات كحل مؤقت، رغم أنه قد لا يكون مناسباً إذا كانت بعض الحاويات مقصودة للنشر العام.
- مراجعة المستودعات للتأكد من عدم تسريب صور خاصة.
- تدقيق الوصول لرصد أي محاولات تحميل غير مصرح بها.
