นักวิจัยด้านความปลอดภัยไซเบอร์ได้เปิดเผยช่องโหว่ด้านความปลอดภัยใน Gitea ซึ่งเป็นแพลตฟอร์มจัดการเวอร์ชันแบบโอเพนซอร์สที่สามารถโฮสต์เองได้ ช่องโหว่ดังกล่าวทำให้ผู้โจมตีระยะไกลสามารถดึงดาวน์โหลดภาพคอนเทนเนอร์ส่วนตัว (Private Container Images) ออกจากระบบ Gitea ได้โดยไม่จำเป็นต้องใช้บัญชีผู้ใช้ รหัสผ่าน หรือข้อมูลรับรองความถูกต้องใดๆ เลย สิ่งนี้อาจนำไปสู่การรั่วไหลของข้อมูลหรือโค้ดลับที่เป็นความลับขององค์กร

ช่องโหว่นี้ได้รับการจัดเก็บภายใต้รหัส CVE-2026-27771 โดยมีคะแนนความรุนแรงอยู่ที่ 8.2 ตามมาตรฐาน CVSS ซึ่งถือว่าอยู่ในระดับสูง (High) และมีผลกระทบต่อทุกเวอร์ชันของ Gitea ที่เก่ากว่าเวอร์ชัน 1.26.2 การที่ผู้โจมตีไม่ต้องผ่านขั้นตอนการยืนยันตัวตนทำให้ช่องโหว่นี้สามารถถูก exploit ได้ง่ายและรวดเร็ว

ดังนั้น ทีมที่ใช้งาน Gitea ในการจัดเก็บภาพคอนเทนเนอร์จึงควรรีบอัปเกรดระบบของตนเองให้ถึงเวอร์ชัน 1.26.2 หรือเวอร์ชันที่ใหม่กว่าทันที เพื่อปิดช่องโหว่นี้และป้องกันไม่ให้ข้อมูลสำคัญขององค์กรตกเป็นเป้าหมายของผู้ไม่ประสงค์ดี

คำศัพท์เทคนิคที่น่าสนใจ

• Container Images – ไฟล์แพ็กเกจที่บรรจุโค้ดและ依存物ที่จำเป็นสำหรับการทำงานของแอปพลิเคชันบนคอนเทนเนอร์
• Unauthenticated – สถานะที่ไม่ได้ผ่านการยืนยันตัวตนหรือไม่มีสิทธิ์เข้าถึงระบบ
• CVE (Common Vulnerabilities and Exposures) – ระบบการตั้งชื่อมาตรฐานสากลที่ใช้ระบุช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จัก
• Self-hosted – การติดตั้งและเป็นเจ้าของซอฟต์แวร์บนเซิร์ฟเวอร์ส่วนตัวขององค์กรเองแทนที่จะใช้บริการแบบ SaaS

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/gitea-vulnerability-exposes-private.html