Hackers exploit critical auth bypass in Gitea Docker image

1 minute de lecture

Mis à jour :

Vulnérabilité critique d’usurpation d’identité sur Gitea

Une faille de sécurité majeure est actuellement exploitée dans les images Docker officielles de Gitea, permettant à des attaquants non authentifiés d’usurper l’identité de n’importe quel utilisateur, y compris les administrateurs, sans mot de passe ni jeton.

Points clés :

  • Cause racine : La configuration par défaut de l’image Docker (REVERSE_PROXY_TRUSTED_PROXIES=*) fait confiance à l’en-tête HTTP X-WEBAUTH-USER provenant de n’importe quelle adresse IP.
  • Impact : Un attaquant peut accéder directement au port HTTP du conteneur pour se connecter sous le nom de n’importe quel utilisateur dont le compte est connu ou prévisible.
  • Activité : Des campagnes d’exploitation sont déjà constatées dans la nature, visant notamment les comptes administrateurs.

Vulnérabilité associée :

  • CVE-2026-20896 : Affecte les images Docker officielles de Gitea jusqu’à la version 1.26.2 incluse.

Recommandations :

  • Mise à jour immédiate : Passer à la version 1.26.4 ou supérieure pour corriger la faille et ses régressions associées.
  • Atténuation temporaire : Si la mise à jour est impossible, restreindre manuellement le paramètre REVERSE_PROXY_TRUSTED_PROXIES aux adresses IP des serveurs proxy de confiance plutôt que d’utiliser le caractère joker (*).
  • Audit de sécurité : Examiner les journaux d’accès (access logs) à la recherche de connexions suspectes ou d’activités anormales liées à des usurpations de comptes.

Source