Gitea'da Kritik Güvenlik Açığı Aktif Olarak Sömürülüyor: Tek Başlık ile Erişim Mümkün Siber Güvenlik

Gitea'da Kritik Güvenlik Açığı Aktif Olarak Sömürülüyor: Tek Başlık ile Erişim Mümkün

Gitea'nın Docker imajlarında keşfedilen kritik bir güvenlik açığı, saldırganların yalnızca geçerli bir kullanıcı adı ile sisteme erişmesine olanak tan

Siber güvenlik araştırmacıları, Gitea’nın ters proxy kimlik doğrulama mekanizmasında aktif olarak sömürülen bir güvenlik açığı konusunda uyarıda bulunuyor. CVE-2026-20896 koduyla takip edilen ve 9.8 CVSS puanına sahip bu kritik zafiyet, yalnızca geçerli bir kullanıcı adı bilgisiyle internet üzerinden erişilebilir Gitea örneklerine saldırılmasına olanak tanıyor. Sysdig Kıdemli Tehdit Araştırma Direktörü Michael Clark, açığın tek bir HTTP başlığı ile istismar edilebildiğini belirtiyor.

Güvenlik açığı, Gitea’nın 1.26.3 öncesi Docker imajlarında varsayılan ayarların yalnızca belirli IP adreslerine izin vermek yerine tüm kaynaklardan gelen bağlantılara açık olmasından kaynaklanıyor. Araştırmacı Ali Mustafa’ya göre, ters proxy kimlik doğrulaması etkinleştirildiğinde Gitea’nın yalnızca proxy tarafından belirlenen başlığa güvenmesi gerekirken, bu zafiyet sayesinde herhangi bir kullanıcı adını başlıkta sağlayan kişi kimlik doğrulamasını atlayarak sisteme bağlanabiliyor. Özellikle yönetici hesapları hedef alınıyor.

Clark’a göre, açığın kamuoyuna duyurulmasından sadece 13 gün sonra istismar girişimleri başladı. İlk tespit edilen saldırı, bir VPN çıkış tarayıcısı tarafından gerçekleştirildi. Sysdig sensörleri, bu saldırıyı duyurunun ardından 13. günde yakaladı. Araştırmalar, internet üzerinden yaklaşık 6.200 Gitea örneğine erişilebildiğini gösteriyor, ancak bunların ne kadarının savunmasız olduğu bilinmiyor.

Gelecekte Ne Bekleniyor?

Gitea’nın 1.26.3/1.26.4 sürümleriyle birlikte sunulan yama, ters proxy kimlik doğrulamasını isteğe bağlı bir özellik haline getiriyor. Kullanıcıların Gitea dağıtımlarını mümkün olan en kısa sürede güncellemeleri öneriliyor. Aksi takdirde, başarılı bir istismar, Gitea’nın barındırdığı tüm kodların ve sırların (API anahtarları, veritabanı kimlik bilgileri, CI/CD yapılandırmaları) tamamen ele geçirilmesine yol açabilir.

Paylaş: