Threat Actors Probe Gitea Docker Flaw CVE-2026-20896 13 Days After Disclosure
Mis à jour :
Exploitation active de la faille critique dans les images Docker Gitea
Des acteurs malveillants ont commencé à scanner les instances Gitea exposées sur Internet pour exploiter une vulnérabilité critique, 13 jours seulement après sa divulgation. Cette faille permet à un attaquant non authentifié d’usurper l’identité de n’importe quel utilisateur, y compris l’administrateur.
Points clés :
- Cause racine : Le fichier de configuration
app.inides images Docker Gitea utilisait par défaut le caractère joker*pour la directiveREVERSE_PROXY_TRUSTED_PROXIES. - Mécanisme d’attaque : Lorsqu’un utilisateur active l’authentification par proxy inverse (
ENABLE_REVERSE_PROXY_AUTHENTICATION = true), Gitea accepte aveuglément l’en-tête HTTPX-WEBAUTH-USERprovenant de n’importe quelle adresse IP. Cela permet à quiconque accédant directement au port HTTP du conteneur de s’authentifier sans mot de passe. - Impact : Risque de compromission totale du serveur, notamment si le compte administrateur est usurpé. Environ 6 200 instances Gitea sont potentiellement exposées.
Vulnérabilité :
- CVE-2026-20896 : Score CVSS de 9.8. Affecte toutes les versions des images Docker Gitea jusqu’à la 1.26.2 incluse.
Recommandations :
- Mise à jour immédiate : Passer à la version 1.26.3 (ou ultérieure), qui corrige la configuration par défaut et rend l’authentification par proxy inverse optionnelle.
- Vérification de configuration : Pour les administrateurs ne pouvant pas mettre à jour immédiatement, s’assurer que
REVERSE_PROXY_TRUSTED_PROXIESest limité aux adresses IP de confiance (ex:127.0.0.0/8,::1/128) et non au joker*. - Sécurisation réseau : Restreindre l’accès au port HTTP du conteneur Gitea afin qu’il ne soit accessible que via le proxy inverse légitime.
