セルフホスト型 Git プラットフォーム Gitea の公式 Docker イメージに存在する重大脆弱性 CVE-2026-20896 (CVSS 9.8) が、公開から 13 日後に実運用環境で活発に悪用されていることを、複数のセキュリティ研究者が 7月8日に警告しました。攻撃条件は極めて単純で、単一の HTTP ヘッダ X-WEBAUTH-USER: admin を送るだけで認証を完全に迂回し、リポジトリ・SSH キー・CI/CD シークレットを含む管理者権限を奪取できます。

主なポイント

  • 影響対象は Gitea 公式 Docker イメージ v1.26.2 以下。標準インストール・自ビルドは対象外
  • 原因は Docker イメージ側の REVERSE_PROXY_TRUSTED_PROXIES = * 誤設定で、reverse proxy 認証を任意 IP から信頼する設定になっていた
  • 修正版 Gitea 1.26.3 / 1.26.4 では reverse proxy 認証は明示 opt-in に変更
  • 公開後 13 日で ProtonVPN 出口ノード (159.26.98[.]241) からの初動偵察を確認、インターネット公開の Gitea は約 6,200 台
  • 取得可能な情報はリポジトリ全体、SSH 鍵、CI/CD シークレット、パイプライン権限まで及ぶ

出典: Threat Actors Probe Gitea Docker Flaw CVE-2026-20896 13 Days After Disclosure (The Hacker News)