Kerentanan Gitea Mengekspos Private Container Image Tanpa Autentikasi

Kerentanan Gitea menjadi perhatian serius bagi tim yang menggunakan platform Git self hosted dan container registry internal. Celah ini dilacak sebagai CVE 2026 27771 dan memungkinkan attacker tanpa akun untuk menarik private container image dari deployment Gitea yang terdampak.

Artinya, attacker tidak membutuhkan username, password, token, atau akses sebelumnya. Jika instance Gitea terdampak dan terbuka ke internet, private container image dapat diakses seolah olah image tersebut bersifat publik.

Kasus ini dilaporkan oleh The Hacker News berdasarkan temuan dari NoScope. Gitea sudah merilis versi 1.26.2 untuk memperbaiki masalah ini. Namun, organisasi yang masih memakai versi lama perlu segera mengecek exposure mereka.

Apa Itu Kerentanan Gitea Ini?

Gitea adalah platform open source untuk version control yang bisa dijalankan secara self hosted. Banyak tim menggunakannya sebagai alternatif yang lebih ringan untuk hosting Git. Selain repository Git, Gitea juga memiliki fitur package dan container registry bawaan.

Kerentanan Gitea ini menyerang bagian container registry. Dalam kondisi normal, container image yang ditandai private hanya boleh diakses oleh user yang memiliki izin. Namun dalam kasus ini, label private tidak benar benar memberikan perlindungan seperti yang diharapkan.

Akibatnya, attacker dari luar bisa mengakses private container image tanpa kredensial yang valid. Ini berbahaya karena container image sering menyimpan lebih dari sekadar source code. Di dalamnya bisa ada konfigurasi aplikasi, dependency, endpoint internal, dan kadang secret yang tidak seharusnya ikut masuk ke image.

Kenapa Private Container Image Itu Penting?

Container image bukan hanya file biasa. Ia adalah paket yang berisi snapshot dari environment aplikasi. Di dalamnya bisa ada kode aplikasi, runtime dependency, build artifact, environment variable, URL internal, endpoint API, dan data konfigurasi.

Banyak perusahaan menyimpan container image di private registry karena isinya dianggap sensitif. Tim developer biasanya percaya bahwa label private berarti image tersebut terlindungi. Kerentanan Gitea ini merusak asumsi tersebut pada deployment yang terdampak.

Jika attacker bisa menarik private image, mereka bisa mempelajari cara kerja aplikasi. Mereka bisa menemukan path internal, versi software, service tersembunyi, atau kredensial yang tidak sengaja ikut dimasukkan ke image. Dari situ, risiko bisa meluas ke infrastruktur lain.

Seberapa Luas Dampaknya?

Menurut NoScope, kerentanan ini kemungkinan berdampak pada lebih dari 30.000 deployment Gitea di lebih dari 30 negara. Celah ini juga disebut telah ada hampir empat tahun sebelum ditemukan.

NoScope memakai Shodan untuk memperkirakan jumlah instance Gitea yang terlihat dari internet. Metode ini disebut konservatif karena hanya menghitung instance yang masih menampilkan identifier default. Instance di balik reverse proxy khusus, custom branding, atau yang tidak terindeks Shodan mungkin tidak ikut terhitung.

Dampaknya tidak hanya menyentuh server eksperimen atau proyek pribadi. Laporan menyebut sektor yang terdampak mencakup healthcare, aerospace, retail infrastructure, internet service provider, dan software development.

Ini membuat masalahnya lebih besar. Private image dalam production environment bisa berisi informasi tentang sistem bisnis yang benar benar berjalan, bukan hanya aplikasi percobaan.

Forgejo dan Fork Gitea Lainnya

Laporan keamanan juga memperingatkan bahwa fork dari Gitea tidak boleh langsung dianggap aman. Forgejo, salah satu fork komunitas yang cukup dikenal, dikonfirmasi terdampak dalam pengujian NoScope.

Setiap fork yang memakai implementasi container registry yang sama perlu diperiksa oleh maintainer masing masing. Sampai ada verifikasi resmi, operator sebaiknya menganggap deployment serupa sebagai berisiko.

Hal ini penting bagi tim yang memakai platform turunan Gitea. Jika logic registry yang sama masih dipakai, kemungkinan celah yang sama juga bisa muncul.

Kenapa Detail Teknis Tidak Dibuka Penuh?

Laporan publik tidak membuka detail eksploitasi secara lengkap. NoScope menyebut detail teknis sengaja ditahan agar ekosistem Gitea punya waktu untuk melakukan patch.

Langkah ini masuk akal karena celah tanpa autentikasi bisa cepat disalahgunakan jika pola request eksploitnya sudah diketahui publik. Jika detailnya dibuka terlalu cepat, attacker bisa lebih mudah melakukan scanning dan menarik private image dari sistem yang belum dipatch.

Walaupun detail teknis tidak dijelaskan penuh, risikonya sudah cukup jelas. Setiap instance Gitea yang terbuka ke internet dan memakai versi terdampak harus segera ditangani.

Versi Gitea Mana yang Memperbaiki CVE 2026 27771?

Gitea versi 1.26.2 sudah menyertakan perbaikan untuk CVE 2026 27771. Dalam release note resminya, Gitea juga menyarankan semua user untuk melakukan upgrade karena versi ini berisi beberapa perbaikan keamanan, bug fix, dan peningkatan stabilitas.

Jika organisasi kamu memakai Gitea sebelum versi 1.26.2, terutama jika fitur container registry aktif, upgrade harus menjadi prioritas.

Jika patch belum bisa dilakukan segera, workaround sementara adalah mengaktifkan konfigurasi berikut:

[service].REQUIRE_SIGNIN_VIEW=true

Pengaturan ini mewajibkan user untuk login sebelum melihat konten. Namun, workaround ini tidak selalu cocok untuk instance yang memang sengaja membuka sebagian repository atau container image untuk publik. Jadi, tim perlu memahami efeknya sebelum menerapkan konfigurasi tersebut.

Apa yang Perlu Dicek oleh Tim IT?

Langkah pertama adalah menginventaris semua instance Gitea yang dimiliki. Ini mencakup production, staging, server lama, environment developer, dan instance cloud yang mungkin sudah jarang disentuh.

Setelah itu, cek versi Gitea. Semua versi sebelum 1.26.2 perlu diprioritaskan untuk upgrade. Jika container registry aktif, urgensinya lebih tinggi.

Setelah patch dilakukan, cek log akses registry. Cari aktivitas anonymous pull, IP address yang tidak dikenal, lonjakan trafik yang tidak wajar, atau pola akses yang tidak sesuai dengan aktivitas deployment normal.

Tim juga perlu memeriksa isi private container image. Jika ada secret, API key, password database, token, sertifikat, atau kredensial cloud di dalam image yang mungkin terekspos, kredensial tersebut harus segera diganti.

Kenapa Rotasi Secret Penting?

Kesalahan besar setelah insiden seperti ini adalah menganggap patch saja sudah cukup. Patch memang menutup celah untuk ke depannya. Namun, patch tidak bisa membatalkan akses yang mungkin sudah terjadi sebelumnya.

Jika private image pernah bisa diakses sebelum patch, setiap secret yang ada di dalam image harus dianggap berisiko. Ini termasuk kredensial database, token Git, cloud key, service account, dan internal API key.

Pendekatan yang lebih aman adalah melakukan rotasi kredensial dan memeriksa ulang di mana kredensial tersebut dipakai. Tim juga sebaiknya membangun ulang image tanpa menyimpan secret di dalam layer container. Gunakan secret management tool agar nilai sensitif tidak ikut tertanam di image.

Kesimpulan

Kerentanan Gitea CVE 2026 27771 menunjukkan bahwa label private tidak cukup jika access control di belakangnya tidak berjalan dengan benar. Private container image seharusnya tidak bisa diakses tanpa autentikasi. Pada versi Gitea terdampak, perlindungan itu gagal.

Organisasi yang menjalankan Gitea perlu upgrade ke versi 1.26.2, mengecek log registry, memeriksa apakah private image berisi secret, dan melakukan rotasi kredensial jika ada potensi exposure.

Bagi tim DevOps dan security, pelajarannya sederhana. Tool self hosted tetap butuh patching, monitoring, dan validasi akses yang disiplin. Private tidak otomatis berarti aman jika kontrol aksesnya tidak benar benar ditegakkan.

Source: https://thehackernews.com/2026/05/gitea-vulnerability-exposes-private.html