Atores de ameaça exploram falha no Gitea Docker, CVE-2026-20896, 13 dias após divulgação
7 de Julho de 2026

Threat actors têm sido observados tentando explorar uma falha crítica de segurança recentemente corrigida nas imagens Docker do Gitea, segundo a Sysdig.

A vulnerabilidade em questão é a CVE-2026-20896 , com pontuação CVSS de 9,8.

O problema decorre do fato de a plataforma DevOps confiar no cabeçalho "X-WEBAUTH-USER" vindo de qualquer endereço IP de origem, o que, na prática, permite que um cliente sem autenticação na internet obtenha acesso privilegiado.

Segundo o The Hacker News, o pesquisador de segurança Ali Mustafa (@rz1027), creditado por descobrir e reportar a falha, afirmou em uma declaração enviada por e-mail que as imagens Docker do Gitea incluíam um modelo de "app.ini" com o valor "REVERSE_PROXY_TRUSTED_PROXIES = *" hardcoded por padrão.

O arquivo "app.ini" é um componente central de configuração usado para gerenciar parâmetros do servidor, conexões com o banco de dados, comportamento de segurança e ajustes da aplicação.

"Com o login via proxy reverso ativado, esse caractere curinga passa a confiar em todos os endereços IP de origem, então qualquer pessoa que conseguisse acessar a porta poderia enviar um cabeçalho X-WEBAUTH-USER e ser autenticada como qualquer usuário, sem senha e sem token", explicou Mustafa.

"Com o auto-registro ativado, um nome de usuário de administrador dá acesso de administrador."

Vale destacar que o valor seguro documentado para a variável interna "REVERSE_PROXY_TRUSTED_PROXIES" é "127.0.0.0/8,::1/128", o que significa que apenas o localhost, também conhecido como interface de loopback, é permitido como proxy confiável.

No entanto, a imagem oficial do Docker não usa esse padrão e fixa "*" no lugar.

Em outras palavras, a verificação da lista de permissões praticamente deixa de existir.

Assim, quando um administrador define "ENABLE_REVERSE_PROXY_AUTHENTICATION = true" para colocar o Gitea atrás de um proxy reverso com autenticação e mantém o ajuste "REVERSE_PROXY_TRUSTED_PROXIES" no valor padrão, o sistema aceita um cabeçalho HTTP personalizado X-WEBAUTH-USER vindo de qualquer IP de origem que consiga alcançar o contêiner.

"Qualquer processo que consiga alcançar diretamente a porta HTTP do contêiner do Gitea, e não o proxy autenticador previsto, pode se passar por qualquer usuário cujo nome de login seja conhecido ou possa ser adivinhado", informa o comunicado de segurança do Gitea.

"Contas de administrador, como admin, gitea_admin e outras semelhantes, são os alvos mais óbvios."

A vulnerabilidade afeta as imagens Docker do Gitea em versões anteriores à 1.26.3, incluindo a 1.26.2.

O problema foi corrigido na versão 1.26.3, lançada no fim do mês passado, com a remoção do caractere curinga "*" e com a autenticação via proxy reverso passando a ser opcional.

A empresa de segurança em nuvem Sysdig informou que detectou a primeira tentativa de exploração em ambiente real 13 dias após a divulgação pública da falha.

Cerca de 6.200 instâncias do Gitea estão expostas à internet.

"Até agora, as atividades estavam relacionadas à investigação inicial por parte do threat actor", disse Michael Clark, diretor sênior de pesquisa em ameaças da Sysdig.

"Embora tenhamos visto a primeira ação a partir de um IP do serviço ProtonVPN, 159.26.98[.]241, até o momento isso não evoluiu para exploração ou avanço do ataque.

Acreditamos que isso ocorreu porque identificamos a atividade logo no início, antes que ela tivesse chance de se desenvolver além dessa fase inicial."

Diante da gravidade do problema, é essencial que os usuários apliquem as correções o quanto antes para obter a melhor proteção possível.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...