Novinky

Kritická díra v Docker obrazech Gitea nechá útočníka vydávat se za správce

Novinky Date: Zobrazení: 4

Kritická díra v Docker obrazech Gitea nechá útočníka vydávat se za správce

Chyba ve výchozí konfiguraci oficiálního Docker obrazu umožňuje neautentizovanému útočníkovi převzít libovolný účet včetně administrátorského a bezpečnostní firma Sysdig už zaznamenala první pokusy o její zneužití.

Bezpečnostní firma Sysdig zaznamenala první pokusy o zneužití kritické zranitelnosti v Docker obrazech vývojářské platformy Gitea, a to třináct dní po jejím zveřejnění. Zranitelnost s označením CVE-2026-20896 získala skóre CVSS 9,8 a spočívá v tom, že platforma bez omezení důvěřuje hlavičce X-WEBAUTH-USER přicházející z libovolné zdrojové IP adresy, což neautentizovanému útočníkovi z internetu umožňuje získat zvýšená oprávnění.

Chybu objevil a nahlásil bezpečnostní výzkumník Ali Mustafa, který zjistil, že oficiální Docker obraz Gitea používá konfigurační soubor app.ini s napevno nastavenou hodnotou REVERSE_PROXY_TRUSTED_PROXIES na hvězdičku – tedy důvěřuje úplně každé zdrojové IP adrese. Podle dokumentace přitom má tato proměnná obsahovat jen rozsah loopback rozhraní 127.0.0.0/8 a ::1/128, takže ověřování mělo fungovat jen pro dotazy z lokálního stroje. Docker obraz ale tento bezpečný výchozí stav nepoužívá.

Pokud správce podle návodu zapne autentizaci přes reverzní proxy nastavením ENABLE_REVERSE_PROXY_AUTHENTICATION na true a ponechá REVERSE_PROXY_TRUSTED_PROXIES na výchozí hodnotě, může kdokoliv, kdo se dostane přímo k HTTP portu kontejneru – tedy mimo zamýšlenou autentizující proxy – poslat hlavičku X-WEBAUTH-USER se jménem libovolného uživatele a být tak automaticky přihlášen bez hesla i tokenu. Podle poradenství Gitea jsou nejzřetelnějším cílem účty s administrátorskými jmény jako admin nebo gitea_admin; pokud má instance navíc zapnutou automatickou registraci, stačí uhodnout administrátorské jméno k získání plných práv.

Image

Zranitelnost se týká Docker obrazů Gitea ve verzích do 1.26.2 včetně a byla opravena ve verzi 1.26.3 vydané koncem minulého měsíce, kde vývojáři odstranili hvězdičku z výchozí konfigurace a autentizaci přes reverzní proxy udělali ve výchozím stavu vypnutou. Podle Sysdig je na internetu přímo dostupných přibližně 6200 instancí Gitea.

Ředitel pro výzkum hrozeb Sysdig Michael Clark upřesnil, že dosud zaznamenaná aktivita představuje pouze počáteční průzkum ze strany útočníka – první dotaz přišel z IP adresy patřící do služby ProtonVPN, ale zatím nepokročil k samotnému zneužití. Vzhledem k závažnosti chyby firma i tak doporučuje aktualizovat na opravenou verzi co nejdříve.

Další články