นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยช่องโหว่ร้ายแรงบน Gitea ซึ่งเป็นแพลตฟอร์มควบคุมเวอร์ชันแบบโอเพนซอร์สที่สามารถโฮสต์เองได้ ช่องโหว่นี้ทำให้ผู้โจมตีระยะไกลสามารถดึงข้อมูลภาพคอนเทนเนอร์ส่วนตัว (Private Container Images) ออกจากระบบ Gitea ได้โดยง่าย โดยไม่จำเป็นต้องใช้บัญชีผู้ใช้ รหัสผ่าน หรือข้อมูลรับรองความถูกต้องใดๆ เลย ซึ่งอาจนำไปสู่การรั่วไหลของข้อมูลลับหรือโค้ดสำคัญขององค์กรได้

ช่องโหว่ดังกล่าวได้รับการจัดเก็บภายใต้รหัส CVE-2026-27771 โดยมีคะแนนความรุนแรงอยู่ที่ 8.2 ตามมาตรฐาน CVSS จัดอยู่ในระดับ High ซึ่งพบว่ามีผลกระทบต่อทุกเวอร์ชันของ Gitea ที่ต่ำกว่าเวอร์ชัน 1.26.2 ทำให้ระบบที่ยังไม่ได้ทำการอัปเดตเผชิญกับความเสี่ยงสูงที่จะถูกละเมิด

ผู้ดูแลระบบที่ใช้งาน Gitea จึงควรรีบดำเนินการอัปเกรดซอฟต์แวร์ขึ้นสู่เวอร์ชัน 1.26.2 หรือเวอร์ชันที่ใหม่กว่าทันที เพื่อปิดช่องโหว่ดังกล่าวและป้องกันไม่ให้ผู้ไม่ประสงค์ดีเข้าถึงทรัพยากรที่เป็นความลับขององค์กร นอกจากนี้ ควรมีการตรวจสอบสิทธิ์การเข้าถึงและตรวจสอบประวัติการใช้งานเพื่อให้มั่นใจว่าไม่มีการถูกบุกรุกมาก่อนหน้านี้

คำศัพท์เทคนิคที่น่าสนใจ

• Gitea – แพลตฟอร์มควบคุมเวอร์ชัน (Version Control) แบบโอเพนซอร์สที่สามารถติดตั้งและโฮสต์เองบนเซิร์ฟเวอร์ได้ คล้ายกับ GitHub
• Container Images – แพ็กเกจซอฟต์แวร์แบบคงที่ที่ประกอบด้วยโค้ด ไลบรารี และ依賴ต่างๆ ที่จำเป็นต่อการรันแอปพลิเคชันภายในสภาพแวดล้อมของคอนเทนเนอร์
• CVE (Common Vulnerabilities and Exposures) – ระบบการตั้งชื่อมาตรฐานสากลที่ใช้ระบุและอ้างอิงช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จัก
• Authentication – กระบวนการยืนยันตัวตนของผู้ใช้ ระบบ หรืออุปกรณ์ ก่อนที่จะได้รับสิทธิ์เข้าถึงข้อมูลหรือทรัพยากรใดๆ

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/gitea-vulnerability-exposes-private.html