Kibertámadók már 13 nappal a bejelentés után vizsgálják a Gitea Docker sebezhetőséget (CVE-2026-20896)

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe

A Sysdig szerint kibertámadók már megpróbálják kihasználni a nemrég javított kritikus biztonsági sebezhetőséget a Gitea Docker image-ekben. A szóban forgó sebezhetőség a CVE-2026-20896 (CVSS pontszám: 9,8). A hiba oka, hogy a DevOps platform bármilyen forrás IP-címről elfogadja az „X-WEBAUTH-USER” fejlécet, ami gyakorlatilag lehetővé teszi, hogy egy nem hitelesített internetes kliens emelt jogosultságot szerezzen.

A hibát felfedező és bejelentő biztonsági kutató, Ali Mustafa (@rz1027) a The Hacker Newsnak küldött e-mailben elmondta, hogy a Gitea Docker image-ek egy olyan „app.ini” sablonnal érkeztek, amely alapértelmezés szerint keménykódoltan tartalmazza a „REVERSE_PROXY_TRUSTED_PROXIES = ” beállítást. Az „app.ini” egy központi konfigurációs fájl, amellyel a szerverparamétereket, az adatbázis-kapcsolatokat, a biztonsági viselkedést és az alkalmazás beállításait kezelik.

„Ha be van kapcsolva a reverse-proxy alapú bejelentkezés, ez a wildcard minden forrás IP-t megbízhatónak tekint. Így bárki, aki eléri a portot, küldhet egy X-WEBAUTH-USER fejlécet, és bármelyik felhasználóként hitelesítheti magát, jelszó és token nélkül” – magyarázta Mustafa. „Ha az automatikus regisztráció is be van kapcsolva, egy admin felhasználónév admin jogosultságot ad.”

Dokumentáció szerint a „REVERSE_PROXY_TRUSTED_PROXIES” belső változó biztonságos értéke a „127.0.0.0/8,::1/128”. Ez azt jelenti, hogy csak a localhost, vagyis a loopback interfész számít megbízható proxy szervernek. Az hivatalos Docker image viszont nem ezt az alapértelmezést használja, hanem keménykódoltan „”-ot állít be. Így a megengedett címek ellenőrzése gyakorlatilag olyan, mintha nem is létezne.

Ha egy admin beállítja az „REVERSE_PROXY_TRUSTED_PROXIES = true” értéket, hogy Gitea egy hitelesítést végző reverse proxy mögött fusson, de a „REVERSE_PROXY_TRUSTED_PROXIES” beállítást meghagyja alapértelmezett értéken, akkor bármilyen forrás IP-ről érkező X-WEBAUTH-USER egyedi HTTP fejlécet elfogad a konténer, amennyiben az eléri azt.

„Bármely folyamat, amely közvetlenül eléri a Gitea konténer HTTP portját – nem a tervezett, hitelesítést végző proxy-n keresztül – megszemélyesíthet bármelyik felhasználót, akinek a bejelentkezési neve ismert vagy kitalálható” – áll a Gitea figyelmeztetésében. „Az admin fiókok (admin, Gitea_admin stb.) a legkézenfekvőbb célpontok.”

A sebezhetőség a Gitea Docker image-ek 1.26.2-es és annál korábbi verzióit érinti. A hibát a múlt hónap végén megjelent 1.26.3-as verzióban javították: eltávolították a „*” wildcardot, és a reverse-proxy alapú hitelesítés mostantól nem alapértelmezett, hanem külön engedélyezendő.

A felhőbiztonsági cég, a Sysdig azóta közölte, hogy a sebezhetőség nyilvános bejelentése után 13 nappal észlelte az első, éles környezetben történt kihasználási kísérletet. Jelenleg körülbelül 6200, internet felől elérhető Gitea példány fut.

„Eddig a tevékenység a támadó kezdeti felderítéséhez kapcsolódott” – mondta Michael Clark, a Sysdig fenyegetéskutatásért felelős igazgatója a The Hacker Newsnak.

„Az első műveletet egy ProtonVPN szolgáltatáshoz tartozó IP-címről, a 159.26.98[.]241-ről láttuk, de eddig nem jutott el tényleges kihasználásig vagy támadásig. Úgy gondoljuk, azért, mert nagyon korán észleltük, mielőtt a folyamat túlléphetett volna ezen a kezdeti szakaszon.”

A probléma súlyossága miatt létfontosságú, hogy a felhasználók a lehető leghamarabb telepítsék a javításokat, hogy megfelelő védelmet kapjanak.