Gitea Docker CVE-2026-20896 Auth-Bypass

Gitea Docker CVE-2026-20896

Gitea Docker CVE-2026-20896 wird bereits aktiv ausgenutzt: Ein einzelner manipulierter HTTP-Header reicht, damit ein nicht authentifizierter Angreifer jeden Nutzer einer selbst gehosteten Gitea-Instanz imitieren kann — einschließlich eines Administrators — und sich damit Zugriff auf private Repositories und versehentlich eingecheckte Zugangsdaten verschafft.

Was ist passiert

Das offizielle Docker-Image von Gitea liefert standardmäßig REVERSE_PROXY_TRUSTED_PROXIES=* aus. Bei Installationen, die zusätzlich die Reverse-Proxy-Authentifizierung aktivieren (eine übliche Konfiguration, wenn Gitea hinter Nginx oder Traefik betrieben wird), vertraut Gitea dem Header X-WEBAUTH-USER von jeder beliebigen Quell-IP-Adresse. Ein nicht authentifizierter Client aus dem Internet kann diesen Header einfach auf „admin“ setzen und wird als Administrator behandelt — kein Passwort, kein Session-Token, kein zweiter Faktor erforderlich. Gitea CVE-2026-20896 hat einen CVSS-Wert von 9,8.

Sysdig-Forscher bestätigten den ersten Ausnutzungsversuch in freier Wildbahn 13 Tage nach der öffentlichen Offenlegung, zurückverfolgt zu einem ProtonVPN-Exit-Node. Eine Shodan-Abfrage fand rund 6.200 aus dem Internet erreichbare Gitea-Instanzen; die tatsächliche Zahl verwundbarer, ungepatchter Installationen ist unbekannt, da die Schwachstelle von einer Konfigurationseinstellung abhängt, nicht nur von der Versionsnummer.

Eine erfolgreiche Ausnutzung gewährt vollen Lese-/Schreibzugriff auf private Repositories sowie auf alle versehentlich eingecheckten Zugangsdaten — API-Schlüssel, Datenbank-Passwörter, CI/CD-Tokens und Deploy-Keys. Für einen Git-Server bedeutet das faktisch den Generalschlüssel zu jedem nachgelagerten System, das der Code berührt.

Warum das wichtig ist

Selbst gehostetes Git ist bei Engineering-Teams im deutschen Mittelstand beliebt, gerade weil es Cloud-Vendor-Lock-in vermeidet und den Quellcode On-Premises oder in einer kontrollierten Hosting-Umgebung hält. Selbst gehostet bedeutet aber auch selbst gepatcht — es gibt keinen Plattform-Anbieter, der automatisch ein Update ausrollt, und die Reverse-Proxy-Konfiguration, die diese Schwachstelle auslöst, ist genau die Art von Einstellung, die seit zwei Jahren unangetastet „einfach funktioniert“. Ein kompromittierter Git-Server bleibt nicht auf den Quellcode beschränkt: Aus Repository-Secrets erbeutete CI/CD-Tokens erweitern den Schaden direkt in Cloud-Infrastruktur, Container-Registries und Produktions-Deployment-Pipelines.

Was Sie jetzt tun sollten

  1. Aktualisieren Sie Gitea sofort auf Version 1.26.3 oder 1.26.4 — beide Versionen beheben CVE-2026-20896.
  2. Prüfen Sie Ihre Exposition: Ist bei Ihrer Gitea-Installation die Reverse-Proxy-Authentifizierung aktiviert, und ist REVERSE_PROXY_TRUSTED_PROXIES in Ihrer Docker-Konfiguration auf das Wildcard-Zeichen * gesetzt?
  3. Falls ein sofortiges Update nicht möglich ist: Beschränken Sie REVERSE_PROXY_TRUSTED_PROXIES auf die konkrete, vertrauenswürdige IP-Adresse Ihres Reverse-Proxys — niemals auf das Wildcard-Zeichen.
  4. Prüfen Sie eingecheckte Secrets: Rotieren Sie alle API-Schlüssel, Datenbank-Zugangsdaten oder Deploy-Tokens, die in für die Gitea-Instanz zugänglichen Repositories gespeichert sein könnten, und kontrollieren Sie die Zugriffsprotokolle auf ungewöhnliche X-WEBAUTH-USER-Header-Werte von unbekannten Quell-IPs.

DIESEC Einschätzung

Dieses Muster sehen wir regelmäßig im Mittelstand: Ein selbst gehostetes Entwickler-Tool wird einmal aufgesetzt, läuft jahrelang zuverlässig, und niemand übernimmt danach die Verantwortung für dessen Patch-Rhythmus. Die Reverse-Proxy-Vertrauenseinstellung hinter dieser Schwachstelle ist genau die Art von Standardwert, der mehrere Infrastruktur-Migrationen unhinterfragt übersteht — bis er zum einzigen Header wird, der zwischen einer anonymen Internet-Anfrage und vollem Administratorzugriff steht.

Nicht sicher, ob Ihre selbst gehostete Entwickler-Infrastruktur diese Lücke hat? Kontaktieren Sie DIESEC für eine schnelle Konfigurationsprüfung Ihres Git-Hostings und der CI/CD-Secret-Exposition.

Quellen: BleepingComputer | The Hacker News
Veröffentlicht: 2026-07-14 | Kategorie: Tägliche News | ~4 Min. Lesezeit