Im Zentrum steht ein Zugriffskontrollfehler in der eingebauten Container-Registry von Gitea, der unter CVE-2026-27771 geführt wird. Laut NoScope sorgte er dafür, dass für als privat gekennzeichnete Images keine Authentifizierung erzwungen wurde. Die Registry beantwortete stattdessen ganz normale, anonyme Pull-Anfragen über die Docker- bzw. OCI-Schnittstelle und gab die Images aus, als wären sie öffentlich.

„Giteas Container-Registry hat es jeder Person im Internet ermöglicht – ohne Konto, ohne Passwort und ohne vorherigen Zugang –, Container-Images abzurufen, die auf den ersten Blick als privat gelten, so als wären sie öffentlich“, erklärt NoScope. Weil solche Images Quellcode, Geheimnisse und Angaben zur Produktionsinfrastruktur enthalten können, bewertet das Unternehmen die möglichen Folgen als beträchtlich.

Neben Gitea ist auch Forgejo betroffen, das auf derselben Implementierung aufsetzt. Weitere von Gitea abgeleitete Forks könnten ebenfalls anfällig sein. Der Fehler steckte nach Darstellung von NoScope etwa vier Jahre im Code, bevor er mit der kürzlich erschienenen Version 1.26.2 behoben wurde.

Das Ausmaß untermauert NoScope mit eigenen Erhebungen: Eine Shodan-Suche fand demnach mehr als 34.000 aus dem Internet erreichbare Gitea-Instanzen. Rund 93 Prozent davon – etwa 31.750 – galten als wahrscheinlich verwundbar. Bei den potenziell betroffenen Installationen handelte es sich in rund 4.000 Fällen um Produktionssysteme auf größeren Cloud- oder VPS-Plattformen, etwa 7.000 liefen auf dem Standard-Port von Gitea.

„Die Daten sind eindeutig. Das sind keine Hobby-Maschinen. Das sind Organisationen, die sich bewusst entschieden haben, ihre Entwicklungsinfrastruktur selbst zu betreiben – auf produktionstauglicher Hardware, für reale Arbeitslasten“, so das Unternehmen.

Zur Behebung rät NoScope, umgehend auf Gitea 1.26.2 zu aktualisieren oder in der Konfiguration für jeden Zugriff auf Inhalte eine Authentifizierung zu verlangen. Dabei weist das Unternehmen einschränkend darauf hin, dass diese Einstellung für Instanzen ungeeignet ist, die einzelne Container bewusst öffentlich bereitstellen; Betreiber in dieser Lage sollten den Kompromiss sorgfältig abwägen.