Hackers exploit critical auth bypass in Gitea Docker image
Mis à jour :
Vulnérabilité critique d’usurpation d’identité sur Gitea
Une faille de sécurité majeure est actuellement exploitée dans les images Docker officielles de Gitea, permettant à des attaquants non authentifiés d’usurper l’identité de n’importe quel utilisateur, y compris les administrateurs, sans mot de passe ni jeton.
Points clés :
- Cause racine : La configuration par défaut de l’image Docker (
REVERSE_PROXY_TRUSTED_PROXIES=*) fait confiance à l’en-tête HTTPX-WEBAUTH-USERprovenant de n’importe quelle adresse IP. - Impact : Un attaquant peut accéder directement au port HTTP du conteneur pour se connecter sous le nom de n’importe quel utilisateur dont le compte est connu ou prévisible.
- Activité : Des campagnes d’exploitation sont déjà constatées dans la nature, visant notamment les comptes administrateurs.
Vulnérabilité associée :
- CVE-2026-20896 : Affecte les images Docker officielles de Gitea jusqu’à la version 1.26.2 incluse.
Recommandations :
- Mise à jour immédiate : Passer à la version 1.26.4 ou supérieure pour corriger la faille et ses régressions associées.
- Atténuation temporaire : Si la mise à jour est impossible, restreindre manuellement le paramètre
REVERSE_PROXY_TRUSTED_PROXIESaux adresses IP des serveurs proxy de confiance plutôt que d’utiliser le caractère joker (*). - Audit de sécurité : Examiner les journaux d’accès (access logs) à la recherche de connexions suspectes ou d’activités anormales liées à des usurpations de comptes.
