Kritiek authenticatielek in Gitea Docker-image wordt actief misbruikt

Aanvallers misbruiken CVE-2026-20896 in de officiële Gitea Docker-image. Door een misconfiguratie kan iedereen zich als willekeurige gebruiker voordoen, ook als beheerder.

Aanvallers misbruiken op dit moment een kritieke kwetsbaarheid in de officiële Docker-image van Gitea, de populaire zelfgehoste Git-dienst. Het lek, geregistreerd als CVE-2026-20896, laat een aanvaller zonder inloggegevens elke identiteit aannemen — inclusief die van beheerders.

Het probleem zit niet in de Gitea-code zelf, maar in de standaardconfiguratie van de Docker-image tot en met versie 1.26.2. Die vertrouwt authenticatieheaders van een reverse proxy, ongeacht waar het verkeer vandaan komt. Onderzoeker Michael Clark legt uit: met reverse-proxyauthenticatie ingeschakeld accepteert Gitea de X-WEBAUTH-USER-header van elk bron-IP. Een aanvaller hoeft dus alleen een header mee te sturen met de gebruikersnaam van zijn keuze.

De gevolgen laten zich raden. Wie zich als admin kan voordoen, heeft toegang tot alle repositories, kan code aanpassen en tokens of secrets buitmaken — een ideaal startpunt voor een supply-chain-aanval.

Beveiligingsbedrijf Sysdig zag de eerste aanval in het wild dertien dagen na publicatie van de advisory: een scanner achter een VPN-exit die direct toegang wist te krijgen. Wereldwijd staan zo’n 6.200 Gitea-installaties publiek aan het internet; hoeveel daarvan kwetsbaar geconfigureerd zijn, is onduidelijk.

Wat te doen

Gitea heeft het probleem opgelost in versies 1.26.3 en 1.26.4. Kun je nog niet updaten, beperk dan in de configuratie REVERSE_PROXY_TRUSTED_PROXIES tot de IP-adressen van je eigen proxy in plaats van het wildcard-teken. Controleer daarnaast de toegangslogs op verdachte logins van de afgelopen weken.

Voor Nederlandse ontwikkelteams die Gitea intern draaien: ook installaties die alleen via het bedrijfsnetwerk bereikbaar zijn verdienen de patch. Eén gecompromitteerde werkplek is genoeg om het lek van binnenuit te misbruiken.

Bron: BleepingComputer

📬

Wekelijkse security-update in je inbox

Elke week de belangrijkste dreigingen, kwetsbaarheden en tips — gratis, geen spam.

Bij 2.400+ security-professionals. Afmelden kan altijd.