Actores de amenazas investigan la falla CVE-2026-20896 de Gitea Docker 13 días después de la divulgación

Ravie Lakshmanan06 de julio de 2026Vulnerabilidad/DevOps

Se ha observado que los actores de amenazas intentan explotar una falla de seguridad crítica recientemente reparada en las imágenes de Gitea Docker. según Sysdig.

La vulnerabilidad en cuestión es CVE-2026-20896 (Puntuación CVSS: 9,8), una vulnerabilidad que surge de que la plataforma DevOps confía en el encabezado «X-WEBAUTH-USER» de cualquier dirección IP de origen, lo que permite efectivamente que un cliente de Internet no autenticado obtenga acceso elevado.

En una declaración compartida con The Hacker News por correo electrónico, el investigador de seguridad Ali Mustafa (@rz1027), a quien se le atribuye descubrir y reportar La falla, dijo que las imágenes de Gitea Docker incluían una plantilla «app.ini» que codifica «REVERSE_PROXY_TRUSTED_PROXIES = *» de forma predeterminada. El «aplicación.ini«El archivo es un archivo de configuración principal para administrar los parámetros del servidor, las conexiones de bases de datos, el comportamiento de seguridad y la configuración de la aplicación.

«Con el inicio de sesión de proxy inverso habilitado, ese comodín confía en cada IP de origen, por lo que cualquiera que pueda alcanzar el puerto podría enviar un encabezado X-WEBAUTH-USER y autenticarse como cualquier usuario, sin contraseña ni token», explicó Mustafa. «Con el registro automático activado, un nombre de usuario de administrador le otorga administrador».

Vale la pena señalar que el valor seguro documentado para la variable interna «REVERSE_PROXY_TRUSTED_PROXIES» es «127.0.0.0/8,::1/128», lo que significa que solo localhost, también conocido como la interfaz loopback, está permitido como servidor proxy confiable. Sin embargo, la imagen oficial de Docker no utiliza este código «*» predeterminado. En otras palabras, la verificación de la lista de permitidos es tan buena como no tenerla.

Ciberseguridad

Por lo tanto, cuando un administrador configura «ENABLE_REVERSE_PROXY_AUTHENTICATION = true» para poner a Gitea detrás de un proxy inverso de autenticación y deja la configuración «REVERSE_PROXY_TRUSTED_PROXIES» en su valor predeterminado, permite un encabezado HTTP personalizado X-WEBAUTH-USER desde cualquier IP de origen que pueda llegar al contenedor.

«Cualquier proceso que pueda llegar directamente al puerto HTTP del contenedor de Gitea, no a través del proxy de autenticación previsto, puede hacerse pasar por cualquier usuario cuyo nombre de inicio de sesión sea conocido o adivinable», según el aviso de Gitea. «Las cuentas de administrador (admin, gitea_admin, etc.) son los objetivos obvios».

La vulnerabilidad afecta a las versiones de imágenes de Gitea Docker anteriores a la 1.26.2 incluida. Ha sido abordado en versión 1.26.3 lanzado a fines del mes pasado, con el comodín «*» ahora eliminado y la autenticación de proxy inverso habilitada.

Desde entonces, la empresa de seguridad en la nube Sysdig ha revelado que detectó el primer intento de explotación en estado salvaje 13 días después de la divulgación pública de la vulnerabilidad. Hay alrededor de 6200 instancias de Gitea con acceso a Internet.

«Hasta ahora, las actividades han estado relacionadas con la investigación inicial del actor de amenazas», dijo a The Hacker News Michael Clark, director senior de investigación de amenazas de Sysdig.

«Mientras vimos la primera acción desde una IP del servicio ProtonVPN, 159.26.98[.]241 hasta ahora no ha progresado a ningún progreso de explotación o ataque. Creemos que esto se debe a que lo hemos visto temprano antes de que tuviera la oportunidad de desarrollarse más allá de esa fase inicial».

Dada la gravedad del problema, es esencial que los usuarios apliquen las correcciones lo antes posible para una protección óptima.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *