Hackers maken actief gebruik van een kritieke kwetsbaarheid in de officiële Docker-image van Gitea, een zelfgehoste Git-service. Deze kwetsbaarheid maakt het mogelijk voor aanvallers om zich voor te doen als elke gebruiker, inclusief beheerders, zonder dat authenticatie vereist is.

De beveiligingsfout betreft een authenticatie-omzeiling, geregistreerd als CVE-2026-20896, die optreedt bij implementaties met de standaardconfiguratie waarbij reverse proxy authenticatieheaders zoals X-WEBAUTH-USER zijn ingeschakeld. Michael Clark, hoofdonderzoeker bij Sysdig, bevestigde dat de exploitatie van deze kwetsbaarheid begon minder dan twee weken voordat deze publiekelijk werd bekendgemaakt. Er zijn momenteel ongeveer 6.200 Gitea-instanties publiekelijk bereikbaar, al is onduidelijk hoeveel daarvan daadwerkelijk kwetsbaar zijn.

De officiële Docker-image van Gitea is standaard geconfigureerd met de instelling REVERSE_PROXY_TRUSTED_PROXIES op '*', waardoor Gitea authenticatieheaders van elke bron-IP vertrouwt. Dit betekent dat een onbevoegde internetclient zich kan voordoen als elke gewenste gebruiker door simpelweg de juiste header mee te sturen, zonder wachtwoord of token. Sysdig detecteerde de eerste daadwerkelijke aanval 13 dagen na de advisering, waarbij een VPN-exitscanner toegang probeerde te verkrijgen.

Gitea is een open-source alternatief voor platforms als GitHub en GitLab en wordt gebruikt voor het opslaan van broncode, het beheren van pull requests, samenwerking, deployment en CI/CD-processen. De kwetsbaarheid in de officiële Docker-image tot en met versie 1.26.2 maakt het mogelijk om via reverse proxy authenticatie headers van onbevoegde bronnen te vertrouwen, waardoor aanvallers zich kunnen voordoen als elke gebruiker waarvan de inlognaam bekend of te raden is. Vooral beheerdersaccounts zijn hierbij een aantrekkelijk doelwit.

Gitea heeft inmiddels versies 1.26.3 en 1.26.4 uitgebracht die deze kwetsbaarheid verhelpen en adviseert gebruikers direct te upgraden naar de meest recente release, die ook een extra probleem en een regressie uit 1.26.3 oplost. De cybersecurityautoriteit van Singapore (CSA) heeft eveneens een waarschuwing uitgegeven over de actieve exploitatie van CVE-2026-20896. Indien een upgrade niet mogelijk is, raadt CSA aan om de REVERSE_PROXY_TRUSTED_PROXIES-instelling te beperken tot specifieke vertrouwde IP-adressen in plaats van de standaard wildcard '*'. Daarnaast wordt geadviseerd om toeganglogs te controleren op verdachte activiteiten om mogelijke compromittering vast te stellen.