کمیته رکن چهارم – شرکت Sysdig اعلام کرد مهاجمان سایبری تنها ۱۳ روز پس از انتشار وصله امنیتی آسیبپذیری بحرانی CVE-2026-20896، تلاش برای سوءاستفاده از این نقص در تصاویر رسمی داکر Gitea را آغاز کردهاند. این آسیبپذیری میتواند به مهاجمان اجازه دهد بدون نیاز به احراز هویت، خود را بهجای کاربران سامانه معرفی کنند.
به گزارش کمیته رکن چهارم، این آسیبپذیری با امتیاز ۹.۸ در مقیاس CVSS، ناشی از پیکربندی ناامن تصاویر رسمی داکر Gitea است. در این پیکربندی، مقدار REVERSE_PROXY_TRUSTED_PROXIES بهصورت پیشفرض برابر با * تنظیم شده که باعث میشود در صورت فعال بودن احراز هویت از طریق Reverse Proxy، هدر X-WEBAUTH-USER از هر آدرس IP مورد اعتماد قرار گیرد و مهاجم بتواند بدون نیاز به رمز عبور یا توکن، هویت هر کاربری از جمله مدیر سامانه را جعل کند.
این مشکل تمامی تصاویر داکر Gitea تا نسخه ۱.۲۶.۲ را تحت تأثیر قرار میدهد و در نسخه ۱.۲۶.۳ که در ۹ تیر ۱۴۰۵ منتشر شد، برطرف شده است. در این نسخه، مقدار * حذف شده و استفاده از احراز هویت مبتنی بر Reverse Proxy نیز بهصورت اختیاری (Opt-in) درآمده است.
شرکت Sysdig اعلام کرده است نخستین تلاش برای سوءاستفاده از این آسیبپذیری را تنها ۱۳ روز پس از انتشار عمومی جزئیات آن شناسایی کرده است. بررسیهای این شرکت نشان میدهد در حال حاضر حدود ۶۲۰۰ نمونه Gitea بهصورت مستقیم در اینترنت در دسترس هستند. به گفته پژوهشگران، فعالیتهای مشاهدهشده تاکنون بیشتر در حد شناسایی اولیه بوده و هنوز نشانهای از بهرهبرداری موفق از این آسیبپذیری مشاهده نشده است.
کارشناسان امنیتی به مدیران سامانهها توصیه کردهاند هرچه سریعتر تصاویر داکر Gitea را به نسخه ۱.۲۶.۳ یا جدیدتر بهروزرسانی کرده، تنظیمات REVERSE_PROXY_TRUSTED_PROXIES را بازبینی کنند و از محدود شدن دسترسی به پروکسیهای مورد اعتماد اطمینان حاصل کنند.
منبع: The Hacker News



