披露仅 13 天,攻击者已开始探测 Gitea Docker 漏洞 CVE-2026-20896

披露仅 13 天,攻击者已开始探测 Gitea Docker 漏洞 CVE-2026-20896

导语:在 Gitea Docker 镜像关键漏洞 CVE-2026-20896 公开披露仅 13 天后,Sysdig 已检测到威胁行为者针对该漏洞的在野探测行为。本文梳理了该漏洞的成因、影响版本、修复细节及攻击者的初步动向。

据 Sysdig 透露,威胁行为者已被观察到试图利用 Gitea Docker 镜像中一个近期已修补的关键安全漏洞。该漏洞编号为 CVE-2026-20896(CVSS 评分 9.8),其根源在于 DevOps 平台默认信任来自任何源 IP 地址的 "X-WEBAUTH-USER" HTTP 头,从而允许未经身份验证的互联网客户端获得提权访问。

通过电子邮件向 The Hacker News 分享的一份声明中,发现并报告该漏洞的安全研究员 Ali Mustafa(@rz1027)表示,Gitea Docker 镜像附带的 "app.ini" 模板默认硬编码了 "REVERSE_PROXY_TRUSTED_PROXIES = *"。"app.ini" 文件是用于管理服务器参数、数据库连接、安全行为和应用程序设置的核心配置文件。

Mustafa 解释道:"在启用反向代理登录的情况下,该通配符会信任所有源 IP,因此任何能够访问该端口的人都可以发送 X-WEBAUTH-USER 头,并以任何用户身份完成身份验证,无需密码或令牌。如果同时开启了自动注册,使用管理员用户名即可获得管理员权限。"

值得注意的是,"REVERSE_PROXY_TRUSTED_PROXIES" 内部变量的文档安全值为 "127.0.0.0/8,::1/128",意味着只有 localhost(即环回接口)才被允许作为受信代理服务器。然而,官方 Docker 镜像并未使用此默认值,而是硬编码为 "*"。换句话说,该白名单检查形同虚设。

原文配图

因此,当管理员设置 "ENABLE_REVERSE_PROXY_AUTHENTICATION = true" 将 Gitea 置于身份验证反向代理之后,并保留 "REVERSE_PROXY_TRUSTED_PROXIES" 设为默认值时,攻击者即可从任何能够访问容器的源 IP 发送 X-WEBAUTH-USER 自定义 HTTP 头。Gitea 在其公告中指出:"任何能够直接(而非通过预期的身份验证代理)访问 Gitea 容器 HTTP 端口的进程,都可以冒充任何登录名已知或可猜测的用户。管理员账户(如 admin、gitea_admin 等)是显而易见的攻击目标。"

该漏洞影响 1.26.2 及之前版本的 Gitea Docker 镜像。该漏洞已于上月下旬发布的 1.26.3 版本中得到修复,移除了 "*" 通配符,并将反向代理身份验证改为默认关闭、需主动启用。云安全公司 Sysdig 随后披露,在该漏洞公开披露 13 天后,他们检测到了首次在野利用尝试。互联网上约有 6,200 个面向公网的 Gitea 实例。

Sysdig 威胁研究高级总监 Michael Clark 告诉 The Hacker News:"到目前为止,这些活动与威胁行为者的初步侦察相关。我们确实看到首次活动来自 ProtonVPN 服务的 IP 地址 159.26.98[.]241,但尚未进一步发展到任何利用或攻击阶段。我们认为这是因为我们发现得较早,攻击活动还来不及发展到初始阶段之后。"鉴于该漏洞的严重性,用户必须尽快应用补丁以获得最佳保护。


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/threat-actors-probe-gitea-docker-flaw.html

作者:info@thehackernews.com (The Hacker News)