Kritik Gitea Güvenlik Açığı Aktif Olarak İstismar Ediliyor: Tek Bir Başlıkla Erişim Sağlanıyor Siber Güvenlik

Kritik Gitea Güvenlik Açığı Aktif Olarak İstismar Ediliyor: Tek Bir Başlıkla Erişim Sağlanıyor

Gitea'nın kritik güvenlik açığı CVE-2026-20896, saldırganların yalnızca geçerli bir kullanıcı adıyla sistemlere erişmesine olanak tanıyor. Araştırmacı

Siber güvenlik araştırmacıları, Gitea'nın ters proxy kimlik doğrulama mekanizmasındaki kritik bir güvenlik açığının (CVE-2026-20896) aktif olarak istismar edildiği konusunda uyarıda bulunuyor. Sysdig Tehdit Araştırmaları Kıdemli Direktörü Michael Clark'a göre, bu açık, saldırganların yalnızca geçerli bir kullanıcı adı sağlayarak internete açık Gitea örneklerine erişmesine olanak tanıyor. CVSS skoru 9.8 olan bu kritik güvenlik açığı, özellikle Gitea'nın resmi Docker imajlarını etkiliyor ve tek bir HTTP başlığı ile istismar edilebiliyor.

Güvenlik araştırmacısı Ali Mustafa'ya göre sorun, Gitea'nın 1.26.3 öncesi Docker imajlarında varsayılan ayarların kaynak IP adresi izin listesi uygulamak yerine herhangi bir kaynaktan bağlantıya izin vermesinden kaynaklanıyor. Ters proxy kimlik doğrulaması etkinleştirildiğinde, Gitea'nın yalnızca proxy tarafından ayarlanan başlığa güvenmesi gerekirken, bu açık sayesinde başlıkta geçerli bir kullanıcı adı sağlayan herkes kimlik doğrulamasını atlayarak savunmasız bir örneğe bağlanabiliyor.

Clark, CVE-2026-20896'nın istismarının kamuya açıklandıktan 13 gün sonra başladığını belirtiyor. İlk istismar girişiminin bir 'VPN çıkış tarayıcısı' ile ilişkili olduğu tespit edildi. Sysdig, internete açık yaklaşık 6.200 Gitea örneği tespit ederken, bunların ne kadarının savunmasız olduğu bilinmiyor. Araştırmacılar, başarılı bir istismarın Gitea'nın barındırdığı tüm kod ve sırların tamamen ele geçirilmesine yol açabileceği konusunda uyarıyor.

Kullanıcılara, Gitea dağıtımlarını mümkün olan en kısa sürede güncellemeleri öneriliyor. Gitea 1.26.3/1.26.4 sürümleriyle birlikte gelen yama, ters proxy kimlik doğrulamasını isteğe bağlı bir özellik haline getiriyor. Clark, 'Şifre yok. Token yok. Tek bir başlık. Sysdig sensörleri, danışma belgesinden 13 gün sonra ilk vahşi saldırıyı yakaladı' diyerek durumun ciddiyetini vurguluyor.

Paylaş: