Závažná zranitelnost v oficiálním obrazu Gitea pro docker

Sdílet

Gitea Autor: Gitea

Gitea je open source Git služba, která umožňuje hostování na vlastním serveru. Oficiální obraz Gitea pro docker má závažnou zranitelnost CVE-2026–20896. Verze do 1.26.2 používají REVERSE_PROXY_TRUSTED_PROXIES=*, což znamená, že vzdálený útočník, který použije hlavičku X-WEBAUTH-USER, se nemusí vůbec autentizovat a má přístup do systému. Pokud se útočník může přímo dostat na HTTP instance Gitea,  stačí jen uhodnout jméno uživatele. Často to bude například admin či gitea_admin.

Uživatelé mají aktualizovat na verzi 1.26.4, případně zamezit přímému přístupu na HTTP port z internetu. Chyba je aktivně zneužívána.

(zdroj: bleepingcomputer)

Našli jste v článku chybu?

Autor zprávičky

První linux nainstaloval kolem roku 1994 a u něj zůstal. Později vystudoval fyziku a získal doktorát.