Araştırmacılar, Aktif Sömürü Altındaki Kritik Gitea Kusuru Uyardı Yazılım

Araştırmacılar, Aktif Sömürü Altındaki Kritik Gitea Kusuru Uyardı

Tehdit aktörleri, yalnızca geçerli bir kullanıcı adı sağlayarak internetten erişilebilen örneklere erişmek için Gitea'nın ters proxy kimlik doğrulama ...

Tehdit aktörleri, yalnızca geçerli bir kullanıcı adı sağlayarak internetten erişilebilen örneklere erişmek için Gitea'nın ters proxy kimlik doğrulama mekanizmasındaki bir güvenlik açığından yararlanıyor.

Sysdig Tehdit Araştırması Kıdemli Direktörü Michael Clark, Gitea'nın resmi Docker görüntülerine özel olarak kritik önemdeki güvenlik kusurunun CVE-2026-20896 (CVSS puanı 9,8) olarak takip edildiğini ve tek bir HTTP başlığıyla kullanılabileceğini söylüyor.

Hatayı bulmasıyla tanınan güvenlik araştırmacısı Ali Mustafa, sorunun 1.26.3'ten önceki Gitea Docker görüntülerinde varsayılan ayarların izin verilenler listesini zorunlu kılmak yerine herhangi bir kaynak IP adresinden bağlantılara izin vermesi nedeniyle ortaya çıktığını açıklıyor.

Bir proxy'nin arkasına yerleştirilirse Gitea, ters proxy kimlik doğrulaması etkinleştirildiğinde yalnızca proxy tarafından belirlenen başlığa güvenmelidir. Bu kusur nedeniyle, başlıkta geçerli bir kullanıcı adı sağlayabilen herkes, kimlik doğrulamayı atlayarak güvenlik açığı bulunan bir örneğe bağlanabiliyor.

Teknik Analiz

Araştırmacı, "Gitea kapsayıcısının HTTP bağlantı noktasına (amaçlanan kimlik doğrulama proxy'si aracılığıyla değil) doğrudan ulaşabilen herhangi bir işlem, oturum açma adı bilinen veya tahmin edilebilir herhangi bir kullanıcının kimliğine bürünebilir. Yönetici hesapları bariz hedeflerdir" diye belirtiyor.

Gitea 1.26.3 / 1.26.4 sürümlerinde sunulan yama, ters proxy kimlik doğrulamasını isteğe bağlı bir özellik haline getiriyor.

Reklamcılık. Okumaya devam etmek için kaydırın.

Uzmanların Görüşleri

Clark'a göre CVE-2026-20896'nın kullanımı kamuya açıklanmasından 13 gün sonra başladı. Girişim, "erişimi ele geçiren bir VPN çıkış tarayıcısı" ile ilişkilendirildi.

Clark, "Şifre yok. Belirteç yok. Tek başlık. Sysdig sensörleri, tavsiyeden 13 gün sonra ilk saldırıyı yakaladı" diye belirtiyor.

Nasıl Önlem Alınmalı?

Sysdig'in araştırması internetten erişilebilen yaklaşık 6.200 Gitea örneğini ortaya çıkarsa da bunların kaçının savunmasız olduğu belli değil.

Güvenlik açığının başarılı bir şekilde kullanılması Gitea'nın sahip olduğu tüm kod ve sırların tamamen ele geçirilmesine yol açabileceğinden, kullanıcıların Gitea dağıtımlarını mümkün olan en kısa sürede güncellemeleri önerilir.

Detaylar ve Etkileri

Clark, "Bir Gitea kullanıcısı, özel olanlar da dahil olmak üzere depolarını okuyabilir ve yazabilir: gönderdikleri kod, geliştiricilerin kazara işlediği sırlar (API anahtarları, DB kimlik bilgileri, dağıtım belirteçleri), CI/CD yapılandırmaları ve dağıtım anahtarları," diye belirtiyor Clark.

İlgili: Saldırılarda İstismar Edilen Kritik Adobe ColdFusion Güvenlik Açığı

Gelecekte Ne Bekleniyor?

İlgili: CISA, Aktif Olarak İstismar Edilen Microsoft SharePoint Güvenlik Açığı Konusunda Uyardı

İlgili: Apple, iOS, macOS ve Safari'de Düzinelerce Güvenlik Açığını Düzeltiyor

İlgili: Gitea Güvenlik Açığı 30.000 Dağıtımı Saldırılara Maruz Bıraktı

Paylaş: