Die Sicherheitsforschungsfirma NoScope hat eine kritische Schwachstelle in Gitea aufgedeckt, die das Vertrauen in diese beliebte Git-Hosting-Lösung erheblich erschüttert. Die Schwachstelle CVE-2026-27771 bestand darin, dass die Authentifizierung für als privat markierte Container-Images nicht korrekt durchgesetzt wurde. Dies bedeutete, dass jeder beliebige Internet-Nutzer — ohne Benutzerkonto, ohne Passwort und ohne vorherigen Zugang — private Container-Images von betroffenen Gitea-Instanzen abrufen konnte, als würden sie öffentlich verfügbar sein.
Das Problem lag in einer Implementierungsschwäche der Container-Registry: Während die Images als privat konfiguriert waren, verweigerte die Registry-API die Authentifizierungsprüfung nicht korrekt und lieferte die Inhalte auf Standard-Docker- oder OCI-Pull-Anfragen aus. Eine Shodan-Suche zeigte, dass insgesamt etwa 34.000 Internet-erreichbare Gitea-Instanzen existieren. Davon waren ungefähr 93 Prozent, also rund 31.750 Installationen, wahrscheinlich anfällig für die Schwachstelle.
Die Analyse der potenziell betroffenen Systeme offenbarte ein alarmierendes Bild: Etwa 4.000 Installationen waren Produktionssysteme auf großen Cloud-Providern oder VPS-Plattformen. Weitere 7.000 Instanzen liefen auf Giteas Standard-Port. NoScope betont, dass es sich hierbei nicht um Hobby-Projekte handelt, sondern um Organisationen, die bewusst ihre Entwicklungsinfrastruktur selbst hosten — auf produktionsreifen Systemen für echte Workloads.
Besonders kritisch: Die Schwachstelle existierte etwa vier Jahre lang im Gitea-Code, bevor sie durch die Veröffentlichung von Version 1.26.2 vor einer Woche gepatcht wurde. Dies bedeutet, dass über einen längeren Zeitraum hinweg sensible Daten wie Quellcode, Credentials und Infrastruktur-Informationen potenziell hätten kompromittiert werden können.
Gitea empfiehlt betroffenen Organisationen dringend, sofort auf Version 1.26.2 zu aktualisieren oder alternativ die Konfigurationseinstellungen so zu ändern, dass Authentifizierung für den Zugriff auf alle Inhalte erforderlich ist. Allerdings warnt NoScope: Diese Sicherheitseinstellung ist nicht geeignet für Instanzen, die absichtlich einige Container öffentlich bereitstellen. Auch Forgejo, ein Gitea-Fork, ist betroffen. Weitere Gitea-Derivate könnten ebenfalls anfällig sein.
Für deutsche Unternehmen und öffentliche Institutionen, die Gitea nutzen, ist sofortige Handlung erforderlich — nicht nur aus Sicherheitsgründen, sondern auch zur Einhaltung der DSGVO. Eine Datenschutzverletzung durch kompromittierte Credentials oder Quellcode könnte erhebliche Konsequenzen mit sich bringen.