Gitea Docker en la mira: vulnerabilidad crítica CVE-2026-20896 activa

Publicado el

Amenaza en Gitea Docker: CVE-2026-20896

Recientemente se han observado intentos de explotación de una vulnerabilidad crítica en las imágenes de Docker de Gitea, identificada como CVE-2026-20896. Esta vulnerabilidad, con un CVSS score de 9.8, permite a un cliente de Internet no autenticado obtener acceso elevado al confiar en el encabezado X-WEBAUTH-USER desde cualquier dirección IP.

Según el investigador de seguridad Ali Mustafa, quien descubrió y reportó la vulnerabilidad, las imágenes de Gitea Docker incluyen por defecto un archivo de configuración app.ini que codifica la variable REVERSE_PROXY_TRUSTED_PROXIES como ** * . Esto significa que cualquier proceso que acceda a Gitea** a través de su puerto HTTP puede suplantar a cualquier usuario conocido, incluyendo cuentas de administrador.

Detalles de la vulnerabilidad

La configuración por defecto de REVERSE_PROXY_TRUSTED_PROXIES debería restringirse a 127.0.0.0/8,::1/128, lo que limita el acceso únicamente a localhost. Sin embargo, la imagen oficial de Docker utiliza el comodín ** * , lo que equivale a no tener una lista de permitidos. Esto se convierte en un riesgo crítico, especialmente si el administrador habilita la autenticación de proxy inverso** y deja la configuración por defecto.

La vulnerabilidad afecta a las versiones de imágenes de Gitea Docker anteriores o iguales a 1.26.2. La corrección se implementó en la versión 1.26.3, lanzada recientemente, donde se eliminó el comodín y se configuró la autenticación de proxy inverso como opcional.

Intentos de explotación

La empresa de seguridad en la nube Sysdig ha reportado que detectó el primer intento de explotación en el mundo real apenas 13 días después de la divulgación pública de la vulnerabilidad. Actualmente, existen aproximadamente 6,200 instancias de Gitea expuestas a Internet. Los intentos iniciales están relacionados con una investigación llevada a cabo por un actor de amenazas, aunque no se ha registrado ningún avance en la explotación. Según Michael Clark, director senior de investigación de amenazas en Sysdig, el primer intento se localizó en una IP del servicio ProtonVPN.

Recomendaciones

Dada la gravedad de la vulnerabilidad, se hace un llamado urgente a los administradores de sistemas para que apliquen las correcciones lo antes posible. Mantener las versiones actualizadas es crucial para proteger las instancias de Gitea y evitar posibles ataques.

La situación subraya la importancia de la seguridad en el desarrollo y la operación de software, especialmente en entornos donde se maneja información sensible. La comunidad debe estar alerta y preparada para reaccionar ante este tipo de amenazas.

Fuente

Ver noticia original