Gitea Docker CVE-2026-20896 Auth-Bypass

Gitea Docker CVE-2026-20896 wird bereits aktiv ausgenutzt: Ein einzelner manipulierter HTTP-Header reicht, damit ein nicht authentifizierter Angreifer jeden Nutzer einer selbst gehosteten Gitea-Instanz imitieren kann — einschließlich eines Administrators — und sich damit Zugriff auf private Repositories und versehentlich eingecheckte Zugangsdaten verschafft.
Was ist passiert
Das offizielle Docker-Image von Gitea liefert standardmäßig REVERSE_PROXY_TRUSTED_PROXIES=* aus. Bei Installationen, die zusätzlich die Reverse-Proxy-Authentifizierung aktivieren (eine übliche Konfiguration, wenn Gitea hinter Nginx oder Traefik betrieben wird), vertraut Gitea dem Header X-WEBAUTH-USER von jeder beliebigen Quell-IP-Adresse. Ein nicht authentifizierter Client aus dem Internet kann diesen Header einfach auf „admin“ setzen und wird als Administrator behandelt — kein Passwort, kein Session-Token, kein zweiter Faktor erforderlich. Gitea CVE-2026-20896 hat einen CVSS-Wert von 9,8.
Sysdig-Forscher bestätigten den ersten Ausnutzungsversuch in freier Wildbahn 13 Tage nach der öffentlichen Offenlegung, zurückverfolgt zu einem ProtonVPN-Exit-Node. Eine Shodan-Abfrage fand rund 6.200 aus dem Internet erreichbare Gitea-Instanzen; die tatsächliche Zahl verwundbarer, ungepatchter Installationen ist unbekannt, da die Schwachstelle von einer Konfigurationseinstellung abhängt, nicht nur von der Versionsnummer.
Eine erfolgreiche Ausnutzung gewährt vollen Lese-/Schreibzugriff auf private Repositories sowie auf alle versehentlich eingecheckten Zugangsdaten — API-Schlüssel, Datenbank-Passwörter, CI/CD-Tokens und Deploy-Keys. Für einen Git-Server bedeutet das faktisch den Generalschlüssel zu jedem nachgelagerten System, das der Code berührt.
Warum das wichtig ist
Selbst gehostetes Git ist bei Engineering-Teams im deutschen Mittelstand beliebt, gerade weil es Cloud-Vendor-Lock-in vermeidet und den Quellcode On-Premises oder in einer kontrollierten Hosting-Umgebung hält. Selbst gehostet bedeutet aber auch selbst gepatcht — es gibt keinen Plattform-Anbieter, der automatisch ein Update ausrollt, und die Reverse-Proxy-Konfiguration, die diese Schwachstelle auslöst, ist genau die Art von Einstellung, die seit zwei Jahren unangetastet „einfach funktioniert“. Ein kompromittierter Git-Server bleibt nicht auf den Quellcode beschränkt: Aus Repository-Secrets erbeutete CI/CD-Tokens erweitern den Schaden direkt in Cloud-Infrastruktur, Container-Registries und Produktions-Deployment-Pipelines.
Was Sie jetzt tun sollten
- Aktualisieren Sie Gitea sofort auf Version 1.26.3 oder 1.26.4 — beide Versionen beheben CVE-2026-20896.
- Prüfen Sie Ihre Exposition: Ist bei Ihrer Gitea-Installation die Reverse-Proxy-Authentifizierung aktiviert, und ist
REVERSE_PROXY_TRUSTED_PROXIESin Ihrer Docker-Konfiguration auf das Wildcard-Zeichen*gesetzt? - Falls ein sofortiges Update nicht möglich ist: Beschränken Sie
REVERSE_PROXY_TRUSTED_PROXIESauf die konkrete, vertrauenswürdige IP-Adresse Ihres Reverse-Proxys — niemals auf das Wildcard-Zeichen. - Prüfen Sie eingecheckte Secrets: Rotieren Sie alle API-Schlüssel, Datenbank-Zugangsdaten oder Deploy-Tokens, die in für die Gitea-Instanz zugänglichen Repositories gespeichert sein könnten, und kontrollieren Sie die Zugriffsprotokolle auf ungewöhnliche
X-WEBAUTH-USER-Header-Werte von unbekannten Quell-IPs.
DIESEC Einschätzung
Dieses Muster sehen wir regelmäßig im Mittelstand: Ein selbst gehostetes Entwickler-Tool wird einmal aufgesetzt, läuft jahrelang zuverlässig, und niemand übernimmt danach die Verantwortung für dessen Patch-Rhythmus. Die Reverse-Proxy-Vertrauenseinstellung hinter dieser Schwachstelle ist genau die Art von Standardwert, der mehrere Infrastruktur-Migrationen unhinterfragt übersteht — bis er zum einzigen Header wird, der zwischen einer anonymen Internet-Anfrage und vollem Administratorzugriff steht.
Nicht sicher, ob Ihre selbst gehostete Entwickler-Infrastruktur diese Lücke hat? Kontaktieren Sie DIESEC für eine schnelle Konfigurationsprüfung Ihres Git-Hostings und der CI/CD-Secret-Exposition.
Quellen: BleepingComputer | The Hacker News
Veröffentlicht: 2026-07-14 | Kategorie: Tägliche News | ~4 Min. Lesezeit

