Peretas secara aktif mengeksploitasi kerentanan kritis pada image Docker resmi untuk layanan Git yang dihosting sendiri oleh Gitea yang memungkinkan penyerang menyamar sebagai pengguna mana pun, termasuk administrator.
Kelemahan keamanan adalah kerentanan bypass otentikasi, yang dilacak sebagai CVE-2026-20896yang memengaruhi penerapan menggunakan konfigurasi default, dengan header autentikasi proksi terbalik seperti X-WEBAUTH-USER diaktifkan.
Michael Clark, peneliti keamanan terkemuka di Sysdig, mengonfirmasi bahwa eksploitasi kelemahan tersebut dimulai kurang dari dua minggu sebelum kerentanan tersebut diungkapkan kepada publik.
Saat ini, terdapat sekitar 6.200 kasus Gitea yang terekspos di web publik, meskipun tidak jelas berapa banyak dari kasus tersebut yang rentan.
“Gambar Docker resmi Gitea dikirimkan `REVERSE_PROXY_TRUSTED_PROXIES=*`. Dengan autentikasi reverse-proxy diaktifkan, Gitea kemudian mempercayai header `X-WEBAUTH-USER` dari IP sumber mana pun sehingga klien internet yang tidak diautentikasi menjadi siapa pun yang diklaimnya,” Clark memperingatkan.
“Tidak ada kata sandi. Tidak ada token. Satu header. Sensor Sysdig menangkap serangan pertama yang terjadi 13 hari setelah pemberitahuan, pemindai keluar VPN yang mengambil akses.”
Gitea adalah alternatif open source yang dihosting sendiri untuk GitHub dan GitLab menyimpan kode sumbermengelola permintaan penarikan, berkolaborasi, menyebarkan, dan melakukan operasi CI/CD.
Gambar Docker resmi Gitea mengonfigurasi autentikasi proksi terbalik untuk memercayai header identitas dari alamat IP klien mana pun, bukan hanya dari proksi terbalik yang tepercaya, sehingga memungkinkan penyerang yang tidak diautentikasi untuk menyamar sebagai pengguna sewenang-wenang.
Itu Bug kritis CVE-2026-20896 mempengaruhi image resmi Gitea Docker hingga dan termasuk versi 1.26.2 dalam konfigurasi default.
Pengelola membagikan langkah-langkah untuk mereproduksinya, dengan memperingatkan bahwa “proses apa pun yang dapat mencapai port HTTP penampung Gitea secara langsung – tidak melalui proxy autentikasi yang dimaksudkan – dapat meniru identitas pengguna mana pun yang nama loginnya diketahui atau dapat ditebak. Akun admin (admin, gitea_admin, dll.) adalah target yang jelas.”
Memandu merilis versi 1.26.3 dan 1.26.4 yang membahas CVE-2026-20896 dan menyarankan pengguna untuk langsung meningkatkan versi ke rilis terbaru, yang memperbaiki masalah tambahan dan regresi yang diperkenalkan pada 1.26.3.
Badan keamanan siber Singapura (CSA) juga melakukan hal yang sama mengeluarkan peringatan tentang CVE-2026-20896 yang dieksploitasi secara aktif.
Jika peningkatan ke versi aman tidak memungkinkan, CSA merekomendasikan untuk membatasi pengaturan REVERSE_PROXY_TRUSTED_PROXIES ke alamat IP tepercaya tertentu, bukan wildcard default
.
gambar artikel
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Dapatkan whitepapernya
