Atacantes estão explorando ativamente a vulnerabilidade CVE-2026-20896 (CVSS 9.8) no Gitea, plataforma de desenvolvimento auto-hospedada, para contornar a autenticação e acessar repositórios e segredos de código. A falha, específica das imagens oficiais Docker do Gitea, permite que um invasor envie um único cabeçalho HTTP com um nome de usuário válido para assumir a identidade da vítima, sem necessidade de senha ou token.
Exploração ativa detectada
O primeiro indício de exploração no ambiente real ocorreu 13 dias após a divulgação pública da falha. A tentativa foi associada a um “scanner de saída de VPN” que verificava acessos. Aproximadamente 6.200 instâncias do Gitea estão acessíveis pela internet, embora não seja possível determinar quantas estão vulneráveis.
Origem e impacto da vulnerabilidade
O problema existe porque, nas imagens Docker do Gitea anteriores à versão 1.26.3, as configurações padrão permitem conexões de qualquer endereço IP de origem, em vez de aplicar uma lista de permissões. Se colocado atrás de um proxy, o Gitea deveria confiar apenas em um cabeçalho definido pelo proxy quando a autenticação por proxy reverso está habilitada. Devido à falha, qualquer pessoa que pudesse fornecer um nome de usuário válido em um cabeçalho poderia se conectar a uma instância vulnerável, contornando a autenticação.
“Um processo que alcança a porta HTTP do contêiner diretamente – não por meio do proxy – pode se passar por qualquer usuário cujo nome de login seja conhecido ou adivinhável. Contas de administrador são os alvos óbvios.” A exploração bem-sucedida pode levar ao comprometimento total de todo o código e segredos armazenados, como chaves de API, credenciais de banco de dados e tokens de implantação.
Correção e recomendações
O patch foi introduzido nas versões 1.26.3 e 1.26.4 do Gitea e torna a autenticação por proxy reverso um recurso opcional. Recomenda-se que os usuários atualizem suas implantações do Gitea imediatamente.






