CVE-2026-20896 (CVSS 9.8) : la configuration par défaut de l'image Docker officielle Gitea permet à un attaquant non authentifié d'accéder à n'importe quel compte avec un simple header HTTP. Exploitation active confirmée, ~6 200 instances exposées sur Internet.
En bref
- CVE-2026-20896 (CVSS 9.8) : l'image Docker officielle Gitea accepte par défaut le header HTTP X-WEBAUTH-USER depuis n'importe quelle IP, permettant de s'authentifier comme n'importe quel utilisateur sans mot de passe
- ~6 200 instances Gitea exposées sur Internet, exploitation active détectée par Sysdig, alerte officielle de l'agence de cybersécurité de Singapour (CSA)
- Mettre à jour vers Gitea 1.26.3+ immédiatement et corriger la directive REVERSE_PROXY_TRUSTED_PROXIES dans app.ini
Les faits
Une faille critique affecte l'image Docker officielle de Gitea, la plateforme d'hébergement Git auto-hébergée populaire dans les environnements DevOps. La vulnérabilité, identifiée CVE-2026-20896 avec un score CVSS de 9.8, permet à n'importe quel attaquant non authentifié d'accéder à une instance Gitea avec les droits de n'importe quel compte — y compris administrateur — en utilisant un unique header HTTP. Aucun mot de passe, aucun token, aucune interaction de la victime requise. Le chercheur Michael Clark, qui a découvert et rapporté la faille, a résumé l'exploit en une formule : "One header. No password. No token."
Le vecteur technique est une mauvaise configuration par défaut dans le fichier template app.ini inclus dans l'image Docker officielle. Ce fichier contient la directive REVERSE_PROXY_TRUSTED_PROXIES = *, ce qui signifie que Gitea fait confiance au header X-WEBAUTH-USER depuis n'importe quelle adresse IP source — pas uniquement depuis les reverse proxies légitimes de l'organisation. Un attaquant peut donc envoyer une requête HTTP banale contenant ce header avec le nom d'un utilisateur cible et obtenir immédiatement une session authentifiée complète.
Cette configuration est un héritage de la conception de la fonctionnalité d'authentification par reverse proxy de Gitea : conçue pour permettre à un proxy SSO (Authelia, Authentik, Keycloak) de propager l'identité authentifiée, elle a été rendue trop permissive dans l'image Docker officielle. Le résultat est un bypass d'authentification total pour toute instance accessible directement depuis Internet sans proxy interposé — ce qui est précisément la configuration la plus courante dans les déploiements Docker naïfs.
L'exploitation active a été détectée par l'équipe de recherche Sysdig à partir de la semaine du 7 juillet 2026, avant même la divulgation publique coordonnée. Les premières tentatives observées correspondent à une phase de reconnaissance automatisée depuis des noeuds de sortie VPN, cherchant à identifier les instances Gitea vulnérables et à valider le bypass sur des comptes administrateurs. L'agence de cybersécurité de Singapour (CSA) a émis une alerte officielle le 10 juillet 2026. Selon les analyses sur les moteurs de recherche d'équipements exposés, environ 6 200 instances Gitea sont actuellement accessibles directement depuis Internet.
L'impact d'un accès administrateur à une instance Gitea va bien au-delà de la simple consultation du code source. L'accès à l'ensemble des dépôts constitue en soi une fuite d'information potentiellement catastrophique pour les organisations dont Gitea héberge leur propriété intellectuelle. Mais l'impact opérationnel le plus immédiat concerne les secrets stockés dans les dépôts et les pipelines : tokens API, clés d'accès cloud AWS/Azure/GCP, identifiants de bases de données, certificats TLS, variables d'environnement. Une étude de GitGuardian parue en 2025 estimait à 12,8 millions le nombre de secrets exposés dans des dépôts Git privés — un accès admin Gitea les rend accessibles en quelques secondes.
Les possibilités d'exploitation ne s'arrêtent pas à l'exfiltration. Un accès administrateur Gitea permet d'introduire du code malveillant directement dans des dépôts de production, de modifier les webhooks pour intercepter les événements de push, de compromettre les pipelines Gitea Actions, et d'utiliser l'instance comme point de pivot vers d'autres systèmes de l'infrastructure de développement. Dans un contexte d'attaques supply chain de plus en plus sophistiquées, la compromission d'un serveur Gitea d'une organisation livrant des logiciels à des tiers peut avoir des conséquences en cascade.
La correction a été publiée dans la version 1.26.3 de Gitea fin juin 2026 : elle supprime le wildcard * du paramètre REVERSE_PROXY_TRUSTED_PROXIES par défaut et rend la fonctionnalité d'authentification par reverse proxy opt-in, nécessitant une configuration explicite des adresses IP des proxies de confiance. La version 1.26.4 est également disponible. Les organisations utilisant des images Docker antérieures n'ayant pas modifié leur app.ini restent pleinement vulnérables même après une mise à jour d'image si le paramètre n'a pas été reconfiguré.
Cette faille n'affecte pas les instances Gitea installées en dehors de Docker si elles n'ont pas activé la configuration reverse proxy authentication. Cependant, l'image Docker officielle étant la méthode de déploiement la plus courante dans les environnements cloud-native, la surface d'attaque est substantielle. Les organisations ayant déployé Gitea via Docker doivent vérifier en priorité leur fichier app.ini, qu'elles aient ou non mis à jour leur image.
Impact et exposition
Sont principalement exposées les instances Gitea déployées via l'image Docker officielle avec la configuration par défaut, accessibles directement depuis Internet sans proxy d'authentification interposé. Les déploiements derrière un VPN ou un proxy SSO correctement configuré sont protégés. Les organisations les plus à risque sont les équipes de développement, les startups tech, les organisations open source, et les entreprises ayant déployé Gitea comme alternative auto-hébergée à GitHub/GitLab sans hardening spécifique. Un accès admin Gitea exposé donne accès à l'intégralité du code source et des secrets de l'organisation.
Recommandations
- Mettre à jour vers Gitea 1.26.3 ou 1.26.4 immédiatement — reconstruire et redéployer l'image Docker
- Vérifier la valeur de REVERSE_PROXY_TRUSTED_PROXIES dans app.ini et la restreindre aux adresses IP des reverse proxies légitimes uniquement (jamais utiliser *)
- Auditer les logs d'accès Gitea pour identifier des connexions avec le header X-WEBAUTH-USER provenant d'IPs non autorisées
- Considérer tous les secrets présents dans les dépôts comme potentiellement compromis si l'instance était exposée — procéder à une rotation complète
- Vérifier l'intégrité des branches de production pour détecter tout commit malveillant introduit pendant la période d'exposition
- Si la mise à jour immédiate n'est pas possible, bloquer l'accès direct à Gitea depuis Internet via pare-feu
Alerte critique
CVE-2026-20896 permet à n'importe qui d'accéder à votre Gitea en tant qu'administrateur avec un seul header HTTP. Si votre instance Docker tourne avec la configuration par défaut et est exposée sur Internet, considérez-la comme compromise jusqu'à vérification. Auditez vos logs immédiatement et procédez à la rotation de tous vos secrets d'infrastructure.
Comment vérifier si mon instance Gitea est vulnérable sans attendre la mise à jour ?
Ouvrez le fichier app.ini de votre instance Gitea (typiquement /data/gitea/conf/app.ini pour un déploiement Docker) et recherchez la directive REVERSE_PROXY_TRUSTED_PROXIES. Si la valeur est *, votre instance est vulnérable. Changez immédiatement cette valeur vers l'adresse IP spécifique de votre reverse proxy, ou supprimez la directive entière. Redémarrez Gitea après modification. Vérifiez également dans vos logs access.log les requêtes contenant le header X-WEBAUTH-USER pour identifier d'éventuelles tentatives passées. Si vous n'utilisez pas de proxy SSO, désactivez définitivement cette fonctionnalité.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Meta Muse Spark 1.1 : le modèle IA agentique low-cost qui défie OpenAI et Anthropic
Meta a lancé Muse Spark 1.1 le 9 juillet 2026, un modèle IA multimodal conçu pour les agents autonomes et le coding, avec une fenêtre contextuelle d'un million de tokens et une tarification agressive.
OpenAI lance GPT-Live : la voix IA full-duplex qui écoute et parle simultanément
OpenAI a dévoilé le 8 juillet 2026 GPT-Live, un modèle vocal full-duplex capable d'écouter et de parler en même temps, propulsant ChatGPT Voice dans une nouvelle ère conversationnelle.
Injective Labs : 18 packages npm backdoorés pour voler des clés crypto
Des attaquants ont compromis le dépôt GitHub d'Injective Labs le 8 juillet 2026 pour empoisonner 18 packages npm et dérober des clés privées de wallets crypto.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires (1)
Laisser un commentaire