Gitea Docker imajlarında kritik bir güvenlik açığı keşfedildi. CVE-2026-20896 olarak kaydedilen ve 9.8 CVSS puanına sahip bu açık, DevOps platformunun 'X-WEBAUTH-USER' başlığını herhangi bir kaynak IP adresinden gelen verilere güvenmesi nedeniyle ortaya çıkıyor. Bu durum, kimliği doğrulanmamış bir internet istemcisinin yüksek yetkili erişim elde etmesine olanak tanıyor.
Güvenlik araştırmacısı Ali Mustafa (@rz1027), açığın keşfedilmesi ve raporlanmasında önemli rol oynadı. Mustafa, Gitea Docker imajlarında varsayılan olarak 'REVERSE_PROXY_TRUSTED_PROXIES = *' ayarının sabit kodlandığını belirtti. Bu ayar, ters proxy oturum açma etkinleştirildiğinde, herhangi bir kaynak IP adresine güvenilmesine yol açıyor. Böylece, saldırganlar doğrudan Gitea konteynerinin HTTP portuna erişebiliyor ve 'X-WEBAUTH-USER' başlığı göndererek herhangi bir kullanıcı olarak kimlik doğrulaması yapabiliyor.
Güvenlik açığı, Gitea Docker imajlarının 1.26.2 ve önceki sürümlerini etkiliyor. Geçtiğimiz ay sonunda yayınlanan 1.26.3 sürümüyle birlikte bu açık kapatıldı. Yeni sürümde '*' joker karakteri kaldırıldı ve ters proxy kimlik doğrulaması isteğe bağlı hale getirildi. Sysdig bulut güvenlik şirketi, açığın kamuya duyurulmasından 13 gün sonra ilk istismar girişimini tespit etti. Şu anda internete açık yaklaşık 6.200 Gitea örneği bulunuyor.
Sysdig tehdit araştırmaları kıdemli direktörü Michael Clark, şimdiye kadar tehdit aktörünün yalnızca ilk keşif aşamasında olduğunu belirtti. ProtonVPN hizmetinden bir IP adresi (159.26.98[.]241) üzerinden yapılan bu girişim henüz istismar aşamasına geçmedi. Ancak açığın ciddiyeti göz önüne alındığında, kullanıcıların en kısa sürede güncelleme yapması kritik önem taşıyor.