นักวิจัยด้านความปลอดภัยไซเบอร์ได้เปิดเผยช่องโป่งด้านความปลอดภัยใน Gitea ซึ่งเป็นแพลตฟอร์มควบคุมเวอร์ชันแบบโอเพนซอร์สที่สามารถโฮสต์เองได้ ช่องโป่งนี้อนุญาตให้ผู้โจมตีระยะไกลที่ไม่ได้ผ่านการยืนยันตัวตนสามารถดึงภาพคอนเทนเนอร์ (Container Images) ส่วนตัวออกจากระบบ Gitea ได้โดยไม่จำเป็นต้องใช้บัญชีผู้ใช้ รหัสผ่าน หรือข้อมูลรับรองใดๆ ทั้งสิ้น

ช่องโป่งดังกล่าวได้รับการจัดตำแหน่งเป็น CVE-2026-27771 พร้อมคะแนนความรุนแรง CVSS อยู่ที่ 8.2 ซึ่งถือว่าอยู่ในระดับสูง ส่งผลกระทบต่อทุกเวอร์ชันของ Gitea ก่อนหน้าเวอร์ชัน 1.26.2 การค้นพบครั้งนี้เป็นอันตรายอย่างยิ่งสำหรับองค์กรที่ใช้ Gitea ในการจัดเก็บโค้ดและภาพคอนเทนเนอร์ส่วนตัว เนื่องจากอาจนำไปสู่การรั่วไหลของทรัพย์สินทางปัญญาหรือข้อมูลละเอียดอ่อนทางธุรกิจ

ดังนั้น ทางทีมพัฒนาและผู้เชี่ยวชาญด้านความปลอดภัยจึงแนะนำอย่างยิ่งให้ผู้ใช้งานรีบอัปเดตระบบ Gitea ของตนไปยังเวอร์ชัน 1.26.2 หรือเวอร์ชันที่ใหม่กว่าทันที เพื่อปิดช่องโป่งดังกล่าวและป้องกันไม่ให้ผู้ไม่ประสงค์ดีเข้ามาเข้าถึงและขโมยข้อมูลสำคัญในระบบ

คำศัพท์เทคนิคที่น่าสนใจ

• Gitea – แพลตฟอร์มควบคุมเวอร์ชัน (Version Control) แบบโอเพนซอร์สที่สามารถติดตั้งและโฮสต์บนเซิร์ฟเวอร์ของตนเองได้
• Container Images – แพ็กเกจซอฟต์แวร์ที่บรรจุทุกสิ่งที่จำเป็นต้องใช้ในการรันแอปพลิเคชัน รวมถึงโค้ด ไลบรารี และการตั้งค่าต่างๆ
• CVE (Common Vulnerabilities and Exposures) – ระบบการตั้งชื่อมาตรฐานสำหรับช่องโป่งด้านความปลอดภัยที่เป็นที่รู้จักกันทั่วไป
• CVSS (Common Vulnerability Scoring System) – มาตรฐานการให้คะแนนเพื่อประเมินความรุนแรงของช่องโป่งด้านความปลอดภัย โดยคะแนน 8.2 ถือว่ามีความรุนแรงสูง
• Authentication – กระบวนการยืนยันตัวตนของผู้ใช้ เช่น การใส่ชื่อบัญชีและรหัสผ่านก่อนเข้าถึงระบบ

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/gitea-vulnerability-exposes-private.html