sicurezza · auto-hosting · Docker
Bypass di autenticazione di Gitea Docker (CVE-2026-20896): sei esposto e come correggerlo
Se auto-ospiti Gitea dalla sua immagine Docker ufficiale, un bug critico richiede la tua attenzione ora. CVE-2026-20896 e un bypass di autenticazione valutato CVSS 9.8 e, secondo i resoconti di BleepingComputer, The Hacker News e SecurityWeek, e gia sotto sfruttamento attivo in natura. La buona notizia e che sapere se sei colpito e facile da verificare, e la correzione e un aggiornamento rapido piu un'impostazione.
Cos'e realmente la vulnerabilita
Il problema e un valore predefinito non sicuro nel container, non nella logica principale di Gitea. L'immagine Docker ufficiale di Gitea viene fornita con REVERSE_PROXY_TRUSTED_PROXIES=*, il che significa che Gitea si fida dell'intestazione di autenticazione del reverse-proxy X-WEBAUTH-USER da qualsiasi indirizzo IP di origine. Quando l'autenticazione tramite reverse-proxy e abilitata, quell'intestazione dovrebbe provenire solo da un proxy affidabile che ha gia effettuato l'accesso dell'utente. Con un carattere jolly, un client non autenticato su internet puo semplicemente inviare l'intestazione da solo e diventare chi afferma di essere. Questo e l'intero bypass.

Chi e realmente colpito
Non ogni installazione di Gitea e a rischio. In base agli avvisi pubblicati, sei esposto se tutto questo e vero: esegui l'immagine Docker ufficiale di Gitea nella versione 1.26.2 o precedente, hai le intestazioni di autenticazione tramite reverse-proxy abilitate, e l'istanza e raggiungibile da internet pubblico. Le installazioni che non usano l'autenticazione tramite intestazione di reverse-proxy, o che sono raggiungibili solo su una rete privata, non sono sfruttabili attraverso questo percorso specifico, anche se l'aggiornamento resta la mossa giusta.
Perche e importante
Un server Git e un obiettivo di alto valore. I ricercatori descrivono aggressori che, una volta superata l'autenticazione, sono in grado di leggere repository privati, esfiltrare segreti e codice sorgente, creare o modificare account utente e potenzialmente iniettare modifiche dannose nelle pipeline CI/CD che vengono eseguite da quei repository. Sysdig ha riferito di aver rilevato il primo colpo in natura entro pochi giorni dal momento in cui la tecnica e diventata nota, proveniente da scanner automatizzati che usano nodi di uscita VPN. In altre parole, le istanze esposte vengono trovate e colpite automaticamente.
Come verificarlo e correggerlo
- Aggiorna per prima cosa. Gitea ha rilasciato 1.26.3 e 1.26.4, che risolvono il problema. Scarica l'immagine corretta e ridistribuisci.
- Correggi l'impostazione dei proxy affidabili. Non lasciare
REVERSE_PROXY_TRUSTED_PROXIEScome*. Impostalo sull'IP o sulla sottorete reale del tuo reverse-proxy, cosi che Gitea si fidi dell'intestazione di autenticazione solo da quella fonte. - Riduci l'esposizione. Se un server Git non ha bisogno di essere su internet pubblico, mettilo dietro una VPN o un firewall. Meno cose esposte significa meno cose scansionate.
- Verifica eventuali abusi. Dopo la correzione, esamina l'elenco degli utenti di Gitea e i registri per account o accessi inaspettati, poiche lo sfruttamento potrebbe precedere la tua correzione.
La lezione piu ampia
Questo e un classico fallimento da "valore predefinito non sicuro": il software andava bene, ma il container e stato fornito con un'impostazione permissiva che diventa pericolosa nel momento in cui il servizio si affaccia su internet. L'auto-hosting ne vale la pena, ma comporta la responsabilita di esaminare i valori predefiniti delle immagini che esegui, in particolare qualsiasi cosa che accetti intestazioni di autenticazione da un proxy. Un'impostazione di fiducia con carattere jolly e esattamente il tipo di valore predefinito che vale la pena controllare prima di esporre un servizio.
FAQ
Cos'e CVE-2026-20896? Un bypass di autenticazione critico (CVSS 9.8) nell'immagine Docker ufficiale di Gitea nella versione 1.26.2 e precedente, causato dalla fiducia nell'intestazione X-WEBAUTH-USER da qualsiasi IP. E sotto sfruttamento attivo.
Sono colpito se non uso l'autenticazione tramite reverse-proxy? Attraverso questo percorso specifico, no. Il bypass si basa sull'abilitazione delle intestazioni di autenticazione tramite reverse-proxy. L'aggiornamento e comunque consigliato.
Come lo correggo? Aggiorna a Gitea 1.26.3 o 1.26.4 e imposta REVERSE_PROXY_TRUSTED_PROXIES sull'IP reale del tuo proxy invece di un carattere jolly.
Potrei essere gia stato violato? Possibilmente, se eri esposto prima della correzione. Esamina gli account utente e i registri di accesso per qualsiasi cosa inaspettata.