coldwa.st
Tutte le guideProgrammazioneWebDatiStrumentiDatabaseHaskellConcettiCabal e buildToolchainCompilatorePrestazioniEditor e HLS

sicurezza · auto-hosting · Docker

Bypass di autenticazione di Gitea Docker (CVE-2026-20896): sei esposto e come correggerlo

Di ColdwastAggiornato il 13 lug. 20266 min di lettura#security#gitea#docker
Una mano che lavora su un server in un rack di data center illuminato di blu
Un server auto-ospitato. L'immagine Docker ufficiale di Gitea ha fornito un valore predefinito non sicuro che consente agli aggressori di superare direttamente l'autenticazione.

Se auto-ospiti Gitea dalla sua immagine Docker ufficiale, un bug critico richiede la tua attenzione ora. CVE-2026-20896 e un bypass di autenticazione valutato CVSS 9.8 e, secondo i resoconti di BleepingComputer, The Hacker News e SecurityWeek, e gia sotto sfruttamento attivo in natura. La buona notizia e che sapere se sei colpito e facile da verificare, e la correzione e un aggiornamento rapido piu un'impostazione.

Cos'e realmente la vulnerabilita

Il problema e un valore predefinito non sicuro nel container, non nella logica principale di Gitea. L'immagine Docker ufficiale di Gitea viene fornita con REVERSE_PROXY_TRUSTED_PROXIES=*, il che significa che Gitea si fida dell'intestazione di autenticazione del reverse-proxy X-WEBAUTH-USER da qualsiasi indirizzo IP di origine. Quando l'autenticazione tramite reverse-proxy e abilitata, quell'intestazione dovrebbe provenire solo da un proxy affidabile che ha gia effettuato l'accesso dell'utente. Con un carattere jolly, un client non autenticato su internet puo semplicemente inviare l'intestazione da solo e diventare chi afferma di essere. Questo e l'intero bypass.

Codice sorgente su uno schermo con un effetto di sfocatura di movimento
Il bypass non necessita di alcuna catena di exploit: una richiesta che imposta X-WEBAUTH-USER viene considerata come quell'utente.

Chi e realmente colpito

Non ogni installazione di Gitea e a rischio. In base agli avvisi pubblicati, sei esposto se tutto questo e vero: esegui l'immagine Docker ufficiale di Gitea nella versione 1.26.2 o precedente, hai le intestazioni di autenticazione tramite reverse-proxy abilitate, e l'istanza e raggiungibile da internet pubblico. Le installazioni che non usano l'autenticazione tramite intestazione di reverse-proxy, o che sono raggiungibili solo su una rete privata, non sono sfruttabili attraverso questo percorso specifico, anche se l'aggiornamento resta la mossa giusta.

Perche e importante

Un server Git e un obiettivo di alto valore. I ricercatori descrivono aggressori che, una volta superata l'autenticazione, sono in grado di leggere repository privati, esfiltrare segreti e codice sorgente, creare o modificare account utente e potenzialmente iniettare modifiche dannose nelle pipeline CI/CD che vengono eseguite da quei repository. Sysdig ha riferito di aver rilevato il primo colpo in natura entro pochi giorni dal momento in cui la tecnica e diventata nota, proveniente da scanner automatizzati che usano nodi di uscita VPN. In altre parole, le istanze esposte vengono trovate e colpite automaticamente.

Come verificarlo e correggerlo

  • Aggiorna per prima cosa. Gitea ha rilasciato 1.26.3 e 1.26.4, che risolvono il problema. Scarica l'immagine corretta e ridistribuisci.
  • Correggi l'impostazione dei proxy affidabili. Non lasciare REVERSE_PROXY_TRUSTED_PROXIES come *. Impostalo sull'IP o sulla sottorete reale del tuo reverse-proxy, cosi che Gitea si fidi dell'intestazione di autenticazione solo da quella fonte.
  • Riduci l'esposizione. Se un server Git non ha bisogno di essere su internet pubblico, mettilo dietro una VPN o un firewall. Meno cose esposte significa meno cose scansionate.
  • Verifica eventuali abusi. Dopo la correzione, esamina l'elenco degli utenti di Gitea e i registri per account o accessi inaspettati, poiche lo sfruttamento potrebbe precedere la tua correzione.

La lezione piu ampia

Questo e un classico fallimento da "valore predefinito non sicuro": il software andava bene, ma il container e stato fornito con un'impostazione permissiva che diventa pericolosa nel momento in cui il servizio si affaccia su internet. L'auto-hosting ne vale la pena, ma comporta la responsabilita di esaminare i valori predefiniti delle immagini che esegui, in particolare qualsiasi cosa che accetti intestazioni di autenticazione da un proxy. Un'impostazione di fiducia con carattere jolly e esattamente il tipo di valore predefinito che vale la pena controllare prima di esporre un servizio.

FAQ

Cos'e CVE-2026-20896? Un bypass di autenticazione critico (CVSS 9.8) nell'immagine Docker ufficiale di Gitea nella versione 1.26.2 e precedente, causato dalla fiducia nell'intestazione X-WEBAUTH-USER da qualsiasi IP. E sotto sfruttamento attivo.

Sono colpito se non uso l'autenticazione tramite reverse-proxy? Attraverso questo percorso specifico, no. Il bypass si basa sull'abilitazione delle intestazioni di autenticazione tramite reverse-proxy. L'aggiornamento e comunque consigliato.

Come lo correggo? Aggiorna a Gitea 1.26.3 o 1.26.4 e imposta REVERSE_PROXY_TRUSTED_PROXIES sull'IP reale del tuo proxy invece di un carattere jolly.

Potrei essere gia stato violato? Possibilmente, se eri esposto prima della correzione. Esamina gli account utente e i registri di accesso per qualsiasi cosa inaspettata.

Guida indipendente, mantenuta dalla comunita. coldwa.st e un sito di risorse di programmazione; questo articolo riassume dettagli riportati pubblicamente di CVE-2026-20896 (BleepingComputer, The Hacker News, SecurityWeek, Sysdig e l'avviso di Gitea). I numeri di versione e le impostazioni riflettono tali resoconti; consulta l'avviso ufficiale di Gitea per i dettagli autorevoli prima di agire.