CVE-2026-20896 betrifft die DevOps-Plattform Gitea in ihren Docker-Images. Nach Angaben von Ali Mustafa beruht die Schwachstelle darauf, dass Gitea dem Header „X-WEBAUTH-USER“ von jeder beliebigen Quell-IP vertraut. Dadurch kann ein nicht authentifizierter Client aus dem Internet höhere Zugriffsrechte erhalten.
Mustafa erklärte, die ausgelieferten Gitea-Docker-Images enthielten eine „app.ini“-Vorlage, in der „REVERSE_PROXY_TRUSTED_PROXIES = *“ fest einprogrammiert sei. Die Datei „app.ini“ ist die zentrale Konfigurationsdatei für Serverparameter, Datenbankverbindungen, Sicherheitsverhalten und Anwendungseinstellungen. Wenn die Reverse-Proxy-Anmeldung aktiviert ist, vertraut diese Wildcard somit jeder Quell-IP. Wer den Port erreichen kann, kann einen „X-WEBAUTH-USER“-Header senden und ohne Passwort oder Token als beliebiger Nutzer authentifiziert werden. Ist zudem die automatische Registrierung aktiviert, kann laut Mustafa bereits ein Administrator-Benutzername zu Administratorrechten führen.
Die dokumentierte sichere Voreinstellung für „REVERSE_PROXY_TRUSTED_PROXIES“ lautet dagegen „127.0.0.0/8,::1/128“. Damit wäre nur localhost beziehungsweise das Loopback-Interface als vertrauenswürdiger Proxy zugelassen. Das offizielle Docker-Image nutzte diesen Standard jedoch nicht, sondern setzte stattdessen „*“. Praktisch, so die Konsequenz, wird die Prüfung der Zulassungsliste damit wirkungslos.
In seinem Sicherheitshinweis schreibt Gitea, dass jeder Prozess, der den HTTP-Port des Gitea-Containers direkt erreichen kann – also nicht über den vorgesehenen authentifizierenden Proxy –, jeden Nutzer mit bekanntem oder erratbarem Anmeldenamen imitieren kann. Als naheliegende Ziele nennt Gitea insbesondere Administratorkonten wie „admin“ oder „gitea_admin“.
Betroffen sind Gitea-Docker-Images vor und einschließlich Version 1.26.2. Behoben wurde das Problem in Version 1.26.3, die kürzlich freigegeben wurde. Dort wurde die Wildcard „*“ entfernt, außerdem ist die Reverse-Proxy-Authentifizierung nun eine explizit zu aktivierende Option.
Sysdig zufolge wurde der erste Versuch, die Schwachstelle unter realen Bedingungen auszunutzen, 13 Tage nach der öffentlichen Offenlegung erkannt. Weltweit gibt es etwa 6.200 aus dem Internet erreichbare Gitea-Instanzen. Michael Clark, Senior Director of Threat Research bei Sysdig, sagte The Hacker News, die bislang beobachteten Aktivitäten hätten sich auf eine erste Untersuchung durch den Angreifer beschränkt.
Clark zufolge kam die erste beobachtete Aktion von einer IP-Adresse des Dienstes ProtonVPN, 159.26.98[.]241. Bislang habe sich dies jedoch nicht zu einer Ausnutzung oder einem fortgeschrittenen Angriff entwickelt. Sysdig geht nach Clarks Angaben davon aus, den Vorgang sehr früh erkannt zu haben, bevor er über diese Anfangsphase hinausgehen konnte.
