概要
オープンソースのバージョン管理プラットフォームGiteaの組み込みコンテナレジストリに、重大な認証バイパス脆弱性(CVE-2026-27771)が発見された。CVSSスコアは8.2(High)で、「プライベート」に設定されたリポジトリのコンテナイメージが、アカウントやパスワードを持たないインターネット上の誰からでも取得可能な状態にあった。セキュリティ研究者のNoScopeが2026年4月に自動ペネトレーションテストエージェントを通じて発見し、Giteaメンテナに責任ある開示を行った。修正済みのバージョン1.26.2が2026年5月にリリースされており、早急なアップグレードが推奨されている。
技術的な詳細
本脆弱性はGiteaのコンテナレジストリにおけるアクセス制御の根本的な欠陥に起因する。プライベート指定されたリポジトリであっても、レジストリエンドポイントが匿名リクエストに対してイメージレイヤーおよびマニフェストを返してしまう設計になっており、攻撃者は標準的なDocker/OCIプルリクエストを使用するだけで認証なしに完全なプライベートコンテナイメージを取得できた。NoScopeは「Giteaのコンテナレジストリは、アカウントもパスワードも事前のアクセス権も持たないインターネット上の誰もが、プライベートとされるコンテナイメージをプルできる状態にあった」と説明している。プライベート指定はまったく機能しておらず、この欠陥は約4年間にわたって検出されることなく存在し続けた。
影響範囲
Shodanを通じた調査により、インターネットに公開されているGiteaインスタンスは3万4,000件以上確認され、そのうち約3万1,750件(93%)が脆弱な可能性があるとされている。4,000件は主要なクラウドプラットフォーム上の本番環境で稼働しており、7,000件はデフォルトポートで動作していた。影響は30か国以上に及び、中国・米国・ドイツ・フランス・英国への集中が確認されている。影響を受けた業界は医療機関、航空宇宙メーカー、小売業インフラ、ISP、エンタープライズソフトウェア開発チームなど多岐にわたる。悪用に成功した場合、ソースコードや業務ロジックの流出、APIキーやデータベースパスワード・クラウドプロバイダー認証情報などの機密情報の取得、内部インフラ構成の把握といった深刻な被害が生じる可能性がある。
Forgejoへの波及と今後の対応
GiteaのフォークであるForgejoも独立した検証において脆弱性が確認されており、他のGiteaから派生したプロジェクトも個別にパッチ適用が必要な状況にある。セキュリティ研究者は技術的な詳細の公開を意図的に控えており、エコシステム全体がパッチを適用するのに十分な時間を確保する方針をとっている。現時点では公開されたPoC(概念実証コード)や実際の悪用報告は確認されていないが、脆弱性の深刻度と攻撃の容易さから高リスクと評価されており、インターネット接続環境でGiteaを運用している組織には即時のv1.26.2へのアップグレードが強く推奨される。アップグレードが直ちにできない場合の一時的な回避策として、設定ファイルで[service].REQUIRE_SIGNIN_VIEW=trueを設定することで匿名アクセスを制限できるが、意図的に公開設定にしているリポジトリへの影響も生じるため注意が必要だ。