Gitea 취약점, 인증 없이 개인 컨테이너 이미지 노출

출처: The Hacker News

취약점 개요

보안 연구원들은 오픈소스 자체 호스팅 버전 관리 플랫폼인 Gitea에 보안 결함이 있음을 공개했습니다. 이 결함을 이용하면 인증되지 않은 원격 공격자가 계정, 비밀번호 또는 기타 자격 증명 없이 Gitea 배포 환경에서 개인 컨테이너 이미지를 끌어올 수 있습니다.

이 취약점은 CVE‑2026‑27771(CVSS 점수: 해당 없음)으로 추적되며, 문제를 해결한 1.26.2 이전 모든 Gitea 버전에 영향을 미칩니다.

“해당 버전에서는 컨테이너 레포지토리의 ‘private’ 지정이 운영자가 합리적으로 기대하는 보호 수준을 제공하지 못했습니다.” — Noscope

영향을 받는 배포

Noscope에 따르면 이 결함은 30개국 이상에 걸쳐 30,000개 이상의 배포에 영향을 미쳤으며, 거의 4년 동안 탐지되지 않았다고 합니다. 노출이 가장 많은 국가는 중국, 미국, 독일, 프랑스, 영국이며, 영향을 받은 조직은 헬스케어, 항공우주, 소매 인프라, 인터넷 서비스 제공업체 등 다양한 분야에 걸쳐 있습니다.

영국에 본사를 둔 보안 업체는 Gitea를 포크한 모든 프로젝트를 별도의 검증이 이루어질 때까지 잠재적으로 영향을 받는 것으로 간주해야 한다고 강조했습니다. 테스트 결과 Forgejo도 영향을 받는 것으로 확인되었습니다. 추가적인 기술 세부 사항은 아직 공개되지 않았습니다.

기술적 세부 사항

이 취약점을 이용하면 인터넷에 연결된 누구나—계정, 비밀번호, 사전 접근 권한이 전혀 없어도—영향을 받은 인스턴스에서 일반적으로 비공개로 간주되는 컨테이너 이미지를 마치 공개된 것처럼 끌어올 수 있습니다.

완화 및 우회 방법

• 업그레이드: Gitea 사용자는 버전 1.26.2(또는 이후 버전)로 업데이트하여 문제를 완전히 해결해야 합니다.
• 임시 우회 방법: 즉시 패치를 적용할 수 없는 경우, 다음 설정 옵션을 추가하여 조회 작업에 인증을 강제할 수 있습니다.

[service]
REQUIRE_SIGNIN_VIEW = true

참고: 일부 컨테이너가 의도적으로 공개되어야 하는 경우, 이 우회 방법은 최적의 해결책이 아닙니다.