securite · auto-hebergement · Docker
Contournement d'authentification Gitea Docker (CVE-2026-20896) : etes-vous exposes et comment corriger
Si vous auto-hebergez Gitea depuis son image Docker officielle, un bug critique reclame votre attention maintenant. CVE-2026-20896 est un contournement d'authentification note CVSS 9.8, et selon les rapports de BleepingComputer, The Hacker News et SecurityWeek, il est deja activement exploite dans la nature. La bonne nouvelle : savoir si vous etes affectes est facile a verifier, et le correctif est une mise a niveau rapide plus un reglage.
Ce qu'est reellement la faille
Le probleme est une valeur par defaut non securisee dans le conteneur, pas dans la logique centrale de Gitea. L'image Docker officielle de Gitea est livree avec REVERSE_PROXY_TRUSTED_PROXIES=*, ce qui signifie que Gitea fait confiance a l'en-tete d'authentification du reverse-proxy X-WEBAUTH-USER depuis n'importe quelle adresse IP source. Lorsque l'authentification par reverse-proxy est activee, cet en-tete est cense provenir uniquement d'un proxy de confiance qui a deja connecte l'utilisateur. Avec un caractere generique, un client non authentifie sur internet peut simplement envoyer l'en-tete lui-meme et devenir qui il pretend etre. C'est tout le contournement.

Qui est reellement affecte
Toutes les installations Gitea ne sont pas a risque. D'apres les avis publies, vous etes exposes si tout cela est vrai : vous executez l'image Docker officielle de Gitea en version 1.26.2 ou anterieure, vous avez les en-tetes d'authentification par reverse-proxy actives, et l'instance est accessible depuis l'internet public. Les installations qui n'utilisent pas l'authentification par en-tete de reverse-proxy, ou qui ne sont accessibles que sur un reseau prive, ne sont pas exploitables par ce chemin specifique, meme si la mise a niveau reste la bonne demarche.
Pourquoi c'est important
Un serveur Git est une cible de grande valeur. Les chercheurs decrivent des attaquants qui, une fois l'authentification passee, peuvent lire les depots prives, exfiltrer des secrets et du code source, creer ou modifier des comptes utilisateurs, et potentiellement injecter des modifications malveillantes dans les pipelines CI/CD qui s'executent depuis ces depots. Sysdig a rapporte avoir capte le premier tir dans la nature quelques jours apres que la technique soit devenue connue, provenant de scanners automatises utilisant des noeuds de sortie VPN. Autrement dit, les instances exposees sont trouvees et frappees automatiquement.
Comment le verifier et le corriger
- Mettez a niveau d'abord. Gitea a publie 1.26.3 et 1.26.4, qui corrigent le probleme. Recuperez l'image corrigee et redeployez.
- Corrigez le reglage des proxies de confiance. Ne laissez pas
REVERSE_PROXY_TRUSTED_PROXIESa*. Definissez-le sur l'IP ou le sous-reseau reel de votre reverse-proxy, afin que Gitea ne fasse confiance a l'en-tete d'authentification que depuis cette source. - Reduisez l'exposition. Si un serveur Git n'a pas besoin d'etre sur l'internet public, placez-le derriere un VPN ou un pare-feu. Moins de choses exposees signifie moins de choses scannees.
- Verifiez les abus. Apres le correctif, passez en revue votre liste d'utilisateurs Gitea et vos journaux pour reperer des comptes ou acces inattendus, car l'exploitation pourrait preceder votre correctif.
La lecon plus large
C'est un echec classique de "valeur par defaut non securisee" : le logiciel etait correct, mais le conteneur a ete livre avec un reglage permissif qui devient dangereux des que le service fait face a internet. L'auto-hebergement en vaut la peine, mais il s'accompagne de la responsabilite de passer en revue les valeurs par defaut des images que vous executez, en particulier tout ce qui accepte des en-tetes d'authentification d'un proxy. Un reglage de confiance avec caractere generique est exactement le genre de valeur par defaut a auditer avant d'exposer un service.
FAQ
Qu'est-ce que CVE-2026-20896 ? Un contournement d'authentification critique (CVSS 9.8) dans l'image Docker officielle de Gitea en version 1.26.2 et anterieure, cause par la confiance accordee a l'en-tete X-WEBAUTH-USER depuis n'importe quelle IP. Il est activement exploite.
Suis-je affecte si je n'utilise pas l'authentification par reverse-proxy ? Par ce chemin specifique, non. Le contournement repose sur l'activation des en-tetes d'authentification par reverse-proxy. La mise a niveau reste recommandee.
Comment le corriger ? Mettez a niveau vers Gitea 1.26.3 ou 1.26.4, et definissez REVERSE_PROXY_TRUSTED_PROXIES sur l'IP reelle de votre proxy au lieu d'un caractere generique.
Aurais-je deja pu etre compromis ? Possiblement, si vous etiez exposes avant le correctif. Passez en revue les comptes utilisateurs et les journaux d'acces pour tout element inattendu.