Threat Actors Probe Gitea Docker Flaw CVE-2026-20896 13 Days After Disclosure

1 minute de lecture

Mis à jour :

Exploitation active de la faille critique dans les images Docker Gitea

Des acteurs malveillants ont commencé à scanner les instances Gitea exposées sur Internet pour exploiter une vulnérabilité critique, 13 jours seulement après sa divulgation. Cette faille permet à un attaquant non authentifié d’usurper l’identité de n’importe quel utilisateur, y compris l’administrateur.

Points clés :

  • Cause racine : Le fichier de configuration app.ini des images Docker Gitea utilisait par défaut le caractère joker * pour la directive REVERSE_PROXY_TRUSTED_PROXIES.
  • Mécanisme d’attaque : Lorsqu’un utilisateur active l’authentification par proxy inverse (ENABLE_REVERSE_PROXY_AUTHENTICATION = true), Gitea accepte aveuglément l’en-tête HTTP X-WEBAUTH-USER provenant de n’importe quelle adresse IP. Cela permet à quiconque accédant directement au port HTTP du conteneur de s’authentifier sans mot de passe.
  • Impact : Risque de compromission totale du serveur, notamment si le compte administrateur est usurpé. Environ 6 200 instances Gitea sont potentiellement exposées.

Vulnérabilité :

  • CVE-2026-20896 : Score CVSS de 9.8. Affecte toutes les versions des images Docker Gitea jusqu’à la 1.26.2 incluse.

Recommandations :

  • Mise à jour immédiate : Passer à la version 1.26.3 (ou ultérieure), qui corrige la configuration par défaut et rend l’authentification par proxy inverse optionnelle.
  • Vérification de configuration : Pour les administrateurs ne pouvant pas mettre à jour immédiatement, s’assurer que REVERSE_PROXY_TRUSTED_PROXIES est limité aux adresses IP de confiance (ex: 127.0.0.0/8,::1/128) et non au joker *.
  • Sécurisation réseau : Restreindre l’accès au port HTTP du conteneur Gitea afin qu’il ne soit accessible que via le proxy inverse légitime.

Source