Gitea修補套件登錄庫漏洞，逾3萬自架站點恐暴露私有容器映像檔

Gitea常被企業、開發團隊或個人用來自行架設程式碼管理服務，也能用來存放軟體套件與容器映像檔。容器映像檔是一套應用程式執行環境的打包檔，裡面可能包含程式、必要元件與部分設定，因此要是團隊誤把憑證、服務位址或內部設定放進映像檔，而這些檔案又被外部取得，就可能增加後續被入侵或橫向探索內部系統的風險。

研究人員表示，他們在2026年4月發現這項問題，並在受控環境中重現。受影響版本的Gitea即使將容器儲存庫標示為私有，也未能提供維運人員合理期待的存取保護。不過NoScope也強調，研究過程沒有從第三方主機存取、下載或檢查任何私有映像檔內容。

影響範圍方面，研究人員使用網路設備搜尋服務Shodan，查找公開可見且保留Gitea預設識別特徵的主機，共找到34,144個符合條件的站點。該公司再從其中抽樣100個站點測試，有93個回應符合問題存在的判斷，因此推估至少約31,750個Gitea執行個體可能受影響。

Gitea官方已在1.26.2版納入修補，並建議使用者升級。研究人員也建議，若管理者無法立即更新，可暫時啟用所有內容都必須登入後才能查看的設定，降低未登入者存取內容的風險。但要是站臺原本就刻意提供部分容器公開下載，採用這項暫時措施前仍須評估對既有使用方式的影響。