4년간 잠재된 기티 취약점, 인증 없이 데이터 무단 탈취 가능... 3만개 시스템 비상
[보안뉴스 김형근 기자] 오픈소스 소스코드 관리 플랫폼 ‘기티(Gitea)’에서 인증되지 않은 공격자가 사설 컨테이너 이미지를 무단 탈취할 수 있는 심각한 보안 결함이 발견됐다.
이 취약점 ‘CVE-2026-27771’은 별도 자격 증명 없이도 외부 침입자가 비공개 저장소에 접근할 수 있게 한다. 보안 기업 노스코프(Noscope)에 따르면, 이 결함은 약 4년 동안 발견되지 않은 채 시스템 내에 잠재돼 왔다.
[출처: 노스코프]
영향을 받는 대상은 기티 1.26.2 미만의 모든 버전이며, 현재 세계 30개국 3만 개 이상의 배포 환경이 위험에 노출된 것으로 분석됐다. 주요 피해 예상 국가로는 중국, 미국, 독일, 프랑스, 영국 등이 꼽히며, 의료, 항공우주, 유통 등 국가 핵심 인프라 분야에 광범위한 파장이 우려된다.
기티 컨테이너 레지스트리에서 비공개 설정이 제대로 작동하지 않아 누구나 인증 없이 데이터를 내려받을 수 있었던 것이 화근이었다.
기티 기반 파생 플랫폼 ‘포지조’(Forgejo)에서도 같은 취약점이 확인돼 사용자 주의가 필요하다.
보안 전문가들은 시스템을 최신 1.26.2 버전으로 즉시 업데이트하라고 권고했다. 업데이트가 어려운 경우, 설정 파일에서 ‘로그인 필수 보기’ 기능을 활성화해야 한다. 다만 이 조치는 공개 컨테이너 서비스까지 모두 차단될 수 있다.
[김형근 기자(editor@boannews.com)]
[보안뉴스 김형근 기자] 오픈소스 소스코드 관리 플랫폼 ‘기티(Gitea)’에서 인증되지 않은 공격자가 사설 컨테이너 이미지를 무단 탈취할 수 있는 심각한 보안 결함이 발견됐다.
이 취약점 ‘CVE-2026-27771’은 별도 자격 증명 없이도 외부 침입자가 비공개 저장소에 접근할 수 있게 한다. 보안 기업 노스코프(Noscope)에 따르면, 이 결함은 약 4년 동안 발견되지 않은 채 시스템 내에 잠재돼 왔다.
[출처: 노스코프]
영향을 받는 대상은 기티 1.26.2 미만의 모든 버전이며, 현재 세계 30개국 3만 개 이상의 배포 환경이 위험에 노출된 것으로 분석됐다. 주요 피해 예상 국가로는 중국, 미국, 독일, 프랑스, 영국 등이 꼽히며, 의료, 항공우주, 유통 등 국가 핵심 인프라 분야에 광범위한 파장이 우려된다.
기티 컨테이너 레지스트리에서 비공개 설정이 제대로 작동하지 않아 누구나 인증 없이 데이터를 내려받을 수 있었던 것이 화근이었다.
기티 기반 파생 플랫폼 ‘포지조’(Forgejo)에서도 같은 취약점이 확인돼 사용자 주의가 필요하다.
보안 전문가들은 시스템을 최신 1.26.2 버전으로 즉시 업데이트하라고 권고했다. 업데이트가 어려운 경우, 설정 파일에서 ‘로그인 필수 보기’ 기능을 활성화해야 한다. 다만 이 조치는 공개 컨테이너 서비스까지 모두 차단될 수 있다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
