HackerNews

HackerNews
研究人员警告:严重 Gitea 漏洞正被积极利用

研究人员警告:严重 Gitea 漏洞正被积极利用

给文章评分:

威胁行为者正在利用 Gitea 反向代理认证机制中的一个漏洞,仅需提供一个有效用户名即可访问互联网可访问的实例。
Sysdig 威胁研究高级总监 Michael Clark 表示,该严重性安全缺陷特定于 Gitea 的官方 Docker 镜像,编号为 CVE-2026-20896(CVSS 评分 9.8),可通过单个 HTTP 标头进行利用。
发现该漏洞的安全研究员 Ali Mustafa 解释说,问题在于,在 1.26.3 之前的 Gitea Docker 镜像中,默认设置允许来自任何源 IP 地址的连接,而不是强制执行允许列表。
如果部署在代理之后,当启用反向代理认证时,Gitea 应仅信任由代理设置的标头。由于此缺陷,任何能够在标头中提供有效用户名的人都可以连接到易受攻击的实例,从而绕过身份验证。
该研究员指出:"任何能够直接访问 Gitea 容器 HTTP 端口的进程——而非通过预期的认证代理——都可以冒充任何登录名已知或可猜测的用户。管理员账户是显而易见的目标。"
Gitea 1.26.3/1.26.4 版本中引入的补丁将反向代理认证改为了一项选择性加入的功能。
根据 Clark 的说法,CVE-2026-20896 的利用在公开披露 13 天后开始出现。该尝试与一个"获取访问权限的 VPN 出口扫描器"有关。
Clark 指出:"无需密码。无需令牌。一个标头就够了。Sysdig 传感器在公告发布 13 天后捕获了首次野外攻击。"
虽然 Sysdig 的研究显示约有 6,200 个 Gitea 实例可从互联网访问,但尚不清楚其中有多少存在漏洞。
建议用户尽快更新其 Gitea 部署,因为成功利用该漏洞可能导致 Gitea 所持有的所有代码和密钥完全被泄露。
Clark 指出:"Gitea 用户可以读写其仓库,包括私有仓库:他们发布的代码、开发者意外提交的密钥(API 密钥、数据库凭据、部署令牌)、他们的 CI/CD 配置以及部署密钥。"


消息来源:securityweek.com
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
分享到:
hackernews

hackernews

该作者暂无简介