ثغرة أمنية في Gitea، منصة استضافة الأكواد الشهيرة، تسمح بالوصول إلى صور الحاويات الخاصة دون الحاجة إلى مصادقة. وهذا يعني أن أي مستخدم غير مصرح له يمكنه تنزيل بيانات حساسة أو استخدام هذه الموارد بشكل ضار. يؤثر هذا الخلل على إصدارات محددة من البرنامج، لذا يجب على المسؤولين التحديث إلى الإصدار المُصحح لسد هذه الثغرة. في foro3d.com نذكرك بأن الحفاظ على تحديث البرنامج هو ممارسة ضرورية.
الخلل التقني وتأثيره على الأمان 🔒
يكمن الخلل في معالجة الطلبات الموجهة إلى سجلات الحاويات المدمجة في Gitea. نظرًا لعدم التحقق من أذونات الوصول بشكل صحيح، يسمح النظام بتنزيل الصور الخاصة دون التحقق مما إذا كان المستخدم مصرحًا له بذلك. وهذا يعرض بيانات مثل التكوينات ومفاتيح API أو المعلومات المملوكة المضمنة في الصور للخطر. يجب على فرق التطوير التي تستخدم Gitea لتخزين الحاويات الداخلية إعطاء الأولوية للتحديث إلى أحدث إصدار ثابت، حيث يعمل التصحيح على إصلاح هذا الخلل في المصادقة.
هدية عيد الميلاد التي لم يطلبها أحد 🎁
اتضح أن Gitea قررت إهداء صورك الخاصة لأي فضولي يمر من هناك، دون أن تطلب بطاقة عضوية. الأمر أشبه بترك باب المنزل مفتوحًا والأمل في ألا يدخل أحد لسرقة الثلاجة. المسؤولون الذين لم يقوموا بالتحديث بعد يقولون بشكل أساسي: تفضل، قم بتنزيل كودي السري دون أن تسأل. لحسن الحظ أن التصحيح يأتي قبل أن يأخذ أحد بنك الصور العائلي.