A Sysdig szerint a kiberbűnözők már megpróbálták kihasználni a Gitea Docker image-eit érintő, nemrég javított kritikus sérülékenységet. A CVE-2026-25896 azonosítójú, 9,8-as CVSS-pontszámú hiba abból ered, hogy a DevOps-platform bizonyos konfigurációk mellett bármely forrás IP-címről megbízhatónak tekintette az „X-WEBAUTH-USER” fejlécet. Ez lehetővé tehette, hogy egy hitelesítetlen internetes kliens jelszó vagy token nélkül emelt jogosultságú hozzáférést szerezzen.
A sérülékenységet felfedező Ali Mustafa szerint a Gitea hivatalos Docker image-eiben található „app.ini” sablon alapértelmezés szerint a „REVERSE_PROXY_TRUSTED_PROXIES = *” beállítást használta. Ez azt jelentette, hogy bekapcsolt reverse proxy alapú hitelesítés esetén a rendszer minden forrásból érkező kérést megbízhatónak fogadott el.
Ha az automatikus regisztráció is engedélyezve volt, egy ismert vagy kitalálható admin felhasználónévvel akár rendszergazdai hozzáférés is szerezhető volt. A dokumentáció szerinti biztonságos érték ezzel szemben csak a localhost címtartományokat engedélyezné megbízható proxyként.
A hiba a Gitea Docker image-ek 1.26.2-es és korábbi verzióit érinti, javítása pedig az 1.26.3-as kiadásban jelent meg, amely eltávolította a wildcard beállítást, és a reverse proxy hitelesítést opt-in működésűvé tette. A Sysdig beszámolója szerint
az első valós környezetben észlelt kihasználási kísérlet 13 nappal a nyilvános közzététel után történt, egy ProtonVPN-hez köthető IP-címről, bár a megfigyelt aktivitás egyelőre felderítési szakaszban maradt. A sérülékenység súlyossága miatt
a Gitea-felhasználóknak kifejezetten ajánlott mielőbb frissíteniük a javított verzióra.
