Aktif Sömürü Altındaki Kritik Gitea Docker Hatası Depoları ve Sırları Açığa Çıkarıyor
Pierluigi Paganini 07 Temmuz 2026 07 Temmuz 2026
Saldırganlar, tek bir HTTP başlığıyla kimlik doğrulamayı atlayan, depoları ve hassas verileri açığa çıkaran kritik bir Gitea kusurundan (CVE-2026-20896) yararlanıyor.
Sonuç ve Değerlendirme
Sysdig araştırmacıları, saldırganların, CVE-2026-20896 (CVSS puanı 9,8) olarak takip edilen ve 1.26.3 sürümünden önceki Gitea resmi Docker görüntülerini etkileyen kritik bir kimlik doğrulama atlama hatasından aktif olarak yararlandıkları konusunda uyarıyor.
Detaylar ve Etkileri
"CVE-2026-20896, ifşa edildikten 13 gün sonra istismar edildi. Tek bir HTTP başlığı. İnternete bakan herhangi bir Gitea üzerinden erişim." Sysdig Tehdit Araştırması Kıdemli Direktörü Michael Clark yazdı. "Şifre yok. Jeton yok. Tek başlık. Sysdig sensörleri, tavsiyeden 13 gün sonra ilk saldırıyı yakaladı; erişimi ele geçiren bir VPN çıkış tarayıcısı."
Saldırganlar, geçerli bir kullanıcı adına sahip tek hazırlanmış bir HTTP başlığı göndererek kimlik doğrulamayı atlayabilir ve depolar ve hassas sırlar dahil olmak üzere internete bakan Gitea örneklerine erişim sağlayabilir. Kusur, güvenilir ters proxy'lere erişimi kısıtlamak yerine herhangi bir IP adresinden gelen bağlantıları kabul eden güvenli olmayan varsayılan ayarlardan kaynaklanıyor.
"Gitea'nın resmi Docker görüntüsü (1.26.2'ye kadar ve 1.26.2 dahil) varsayılan yapılandırmasında REVERSE_PROXY_TRUSTED_PROXIES = * gönderir. Ters proxy oturum açma özelliğini açarsanız, bu joker karakter, her kaynak IP'sinin güvenilir bir proxy olarak kabul edildiği anlamına gelir, böylece bağlantı noktasına ulaşabilen herkes bir X-WEBAUTH-USER başlığı gönderebilir ve istediği kişi olarak oturum açabilir." Sorunu keşfeden güvenlik araştırmacısı Ali Mustafa'yı bildirdi. “Şifre yok, jeton yok.”
Uzmanların Görüşleri
Gitea, X-WEBAUTH-USER HTTP üstbilgisine güvenerek kullanıcıların kimliğini doğrulamak için ters proxy kullanabilir, ancak yalnızca istek güvenilir bir proxy'den geliyorsa. Normalde bu, varsayılan olarak yalnızca yerel makineye güvenen bir IP izin verilenler listesi tarafından korunur. Ancak resmi Gitea Docker görüntüleri yanlış yapılandırılmıştır: herhangi bir IP adresinden gelen isteklere güvenirler. Sonuç olarak, ters proxy kimlik doğrulaması etkinleştirilirse Gitea sunucusuna ulaşabilen herkes hazırlanmış bir HTTP başlığı gönderebilir, herhangi bir kullanıcının kimliğine bürünebilir ve hatta yönetici erişimi elde edebilir. Kusur, güvenli varsayılan yapılandırmayı kullanan standart veya kendi kendine oluşturulmuş Gitea kurulumlarını değil, yalnızca resmi Docker görüntülerini etkiliyor.
"Gitea konteynerinin HTTP bağlantı noktasına (amaçlanan kimlik doğrulama proxy'si aracılığıyla değil) doğrudan ulaşabilen herhangi bir işlem, oturum açma adı bilinen veya tahmin edilebilen herhangi bir kullanıcının kimliğine bürünebilir." dedi araştırmacı. "Yönetici hesapları bariz hedeflerdir"
Gitea 1.26.3 ve 1.26.4 sürümleri, ters proxy kimlik doğrulamasını isteğe bağlı bir özellik haline getirerek kusuru düzeltiyor.
Sistem Güvenliği
Sysdig'e göre, bir Shodan sorgusu yaklaşık 6.200 internete açık Gitea örneğini tespit etti, ancak savunmasız sistemlerin sayısı bilinmiyor. Kullanıcılar, kodlarını ve sırlarını korumak için hemen güncelleme yapmalıdır.
Gelecekte Ne Bekleniyor?
"Gitea kutusundaki kullanıcı erişimi "bir web paneli" değildir, kaynak kodunuzdur." Clark sözlerini tamamladı. "Bir Gitea kullanıcısı, özel olanlar da dahil olmak üzere depolarını okuyabilir ve yazabilir: gönderdikleri kod, geliştiricilerin kazara işlediği sırlar (API anahtarları, DB kimlik bilgileri, dağıtım belirteçleri), CI/CD yapılandırmaları ve dağıtım anahtarları."
Beni Twitter'da takip edin: @securityaffairs ve Facebook ve Mastodon
Nasıl Önlem Alınmalı?
(SecurityAffairs – hackleme, CVE-2026-20896)