ثغرة Gitea خطيرة: صور الحاويات الخاصة مكشوفة للعامة دون توثيق

مقدمة تحليلية

كشفت أبحاث أمنية حديثة عن ثغرة حرجة في Gitea، المنصة مفتوحة المصدر والمستضافة ذاتيًا لإدارة إصدارات الشيفرة (version control)، تسمح للمهاجمين غير المصرح لهم بسحب صور الحاويات الخاصة دون الحاجة إلى أي نوع من المصادقة أو كلمات المرور. هذه الثغرة، التي تُعرف بالرمز CVE-2026-27771 وتحمل درجة خطورة 8.2 على مقياس CVSS، كانت موجودة وغير مكتشفة لما يقرب من أربع سنوات، مما يعرض آلاف الأنظمة للخطر.

وفقًا لشركة Noscope لأبحاث الأمن السيبراني، من المرجح أن تكون أكثر من 30,000 عملية نشر لـ Gitea في أكثر من 30 دولة متأثرة بهذه الثغرة. تتوزع هذه الأنظمة المتأثرة بشكل كبير في الصين والولايات المتحدة وألمانيا وفرنسا والمملكة المتحدة، وتشمل منظمات في قطاعات حساسة مثل مقدمي الرعاية الصحية، ومصنعي الفضاء، والبنية التحتية لتجارة التجزئة، ومقدمي خدمات الإنترنت. هذه البيانات تسلط الضوء على حجم التهديد المحتمل وتأثيره الواسع.

التحليل التقني

تكمن المشكلة الأساسية في أن "التصنيف الخاص" على مستودعات الحاويات في Gitea لم يوفر الحماية المتوقعة. فقد سمحت الثغرة لأي شخص على الإنترنت، دون حساب أو كلمة مرور أو وصول مسبق، بسحب صور الحاويات التي كان من المفترض أن تكون خاصة، كما لو كانت عامة. هذا الخلل الأمني يؤثر على جميع إصدارات Gitea التي تسبق الإصدار 1.26.2، والذي عالج المشكلة بشكل كامل. وقد أكدت Noscope أن أية نسخة مشتقة من Gitea، مثل Forgejo، يجب أن تُعامل على أنها متأثرة بالثغرة حتى يتم التحقق منها بشكل مستقل من قبل المطورين المعنيين.

فيما يتعلق بالحلول، يُنصح بشدة المستخدمين بتحديث Gitea إلى الإصدار 1.26.2 للحصول على الحماية المثلى. إذا لم يكن التحديث الفوري خيارًا متاحًا، يمكن تطبيق حل مؤقت يتمثل في ضبط الإعداد التالي في ملف تكوين Gitea: [service].REQUIRE_SIGNIN_VIEW=true. ومع ذلك، من المهم ملاحظة أن هذا الحل المؤقت قد لا يكون مثاليًا إذا كان بعض الحاويات مصممة لكي تكون مكشوفة علنًا بشكل متعمد. وقد اختارت Noscope حجب التفاصيل الفنية الإضافية المتعلقة بـ CVE-2026-27771 بشكل متعمد لإعطاء "نظام Gitea البيئي الأوسع وقتًا لتصحيح الثغرة".

السياق وتأثير السوق

تكتسب هذه الثغرة أهمية خاصة بالنظر إلى الدور المتزايد الذي تلعبه Gitea كبديل مفتوح المصدر لمنصات استضافة Git الكبرى. يعتمد عليها العديد من المطورين والشركات للاحتفاظ بالشيفرة المصدرية وصور الحاويات ضمن بيئاتهم الخاصة، مما يجعل الثقة في آليات الأمان أمرًا حيويًا. إن انكشاف صور الحاويات الخاصة يمثل تهديدًا خطيرًا لسلسلة توريد البرمجيات، حيث يمكن للمهاجمين استغلال هذه الصور لاكتشاف نقاط ضعف أخرى، أو حقن برمجيات خبيثة، أو الوصول إلى بيانات حساسة مضمنة في الصور.

الامتداد الجغرافي والقطاعي الواسع للمؤسسات المتأثرة، من الرعاية الصحية إلى الفضاء، يبرز الحاجة الملحة لإدارة المخاطر السيبرانية بفعالية عبر جميع الصناعات. كما أن الفترة الطويلة التي ظلت فيها الثغرة غير مكتشفة (أربع سنوات) تثير تساؤلات حول فعالية عمليات التدقيق الأمني واختبارات الاختراق، لا سيما في المشاريع مفتوحة المصدر التي تعتمد على مجتمع المطورين للكشف عن العيوب. في سياق يزداد فيه الاعتماد على الحاويات لعمليات النشر المرنة والسريعة، يصبح أمان سجلات الحاويات (Container Registries) أمرًا بالغ الأهمية.

رؤية Glitch4Techs

من منظور Glitch4Techs، تُعد ثغرة Gitea هذه تذكيرًا صارخًا بأن حتى الأنظمة التي نثق بها لحماية أصولنا الرقمية قد تحتوي على عيوب عميقة وغير مكتشفة. إن درجة الخطورة 8.2 لا تترك مجالًا للشك في ضرورة اتخاذ إجراءات فورية. التركيز هنا لا ينبغي أن يكون فقط على تطبيق التصحيح (التحديث إلى 1.26.2) ولكنه يمتد ليشمل إعادة تقييم شاملة للمخاطر المحيطة بصور الحاويات الخاصة وبيئة DevOps بأكملها.

نحن نوصي جميع مستخدمي Gitea، ومنصات إدارة Git المشابهة، بإجراء تدقيق فوري لجميع مستودعات الحاويات الخاصة بهم للتحقق من أي وصول غير مصرح به محتمل خلال السنوات الأربع الماضية. يجب أيضًا مراجعة سياسات الوصول إلى سجلات الحاويات والتأكد من أنها تتبع مبدأ أقل الامتيازات (Principle of Least Privilege). على المدى الطويل، يجب أن يُنظر إلى هذا الحادث كدراسة حالة لتعزيز آليات اكتشاف الثغرات في المشاريع مفتوحة المصدر، وربما استكشاف حلول مراقبة أمنية متقدمة لسجلات الحاويات. إن التحديث هو الخطوة الأولى، ولكن الفهم الشامل للمخاطر وإعادة تقييم الإجراءات الأمنية هي ما سيوفر الحماية الحقيقية على المدى الطويل.