Gitea je open source Git služba, která umožňuje hostování na vlastním serveru. Oficiální obraz Gitea pro docker má závažnou zranitelnost CVE-2026–20896. Verze do 1.26.2 používají REVERSE_PROXY_TRUSTED_PROXIES=*, což znamená, že vzdálený útočník, který použije hlavičku X-WEBAUTH-USER, se nemusí vůbec autentizovat a má přístup do systému. Pokud se útočník může přímo dostat na HTTP instance Gitea, stačí jen uhodnout jméno uživatele. Často to bude například admin či gitea_admin.
Uživatelé mají aktualizovat na verzi 1.26.4, případně zamezit přímému přístupu na HTTP port z internetu. Chyba je aktivně zneužívána.
(zdroj: bleepingcomputer)