概要

自己ホスト型GitサービスGiteaの公式Dockerイメージに、認証を完全に迂回して任意のユーザー(管理者を含む)になりすませる重大な脆弱性「CVE-2026-20896」(CVSS 9.8)が存在することが明らかになった。2026年6月下旬の脆弱性開示からわずか13日後には、セキュリティ企業Sysdigによって実際の悪用の痕跡が検出されており、パッチ未適用の環境を狙った攻撃が急速に進行していることがわかる。研究者Ali Mustafa氏がこの問題を発見・報告し、Gitea側は1.26.3および1.26.4で修正版を公開済みである。

技術的な詳細

問題の根本原因は、Giteaの公式Dockerイメージがデフォルトでリバースプロキシ認証の信頼済みプロキシ設定をREVERSE_PROXY_TRUSTED_PROXIES = *(ワイルドカード、つまり全IPアドレスを信頼)としていた点にある。本来この設定は127.0.0.0/8,::1/128のようにローカルホストなど限定された送信元のみを信頼するべきものだが、ワイルカード指定によりコンテナのHTTPポートに直接到達できる何者でも、リバースプロキシを経由したかのように振る舞えてしまう状態になっていた。

具体的には、攻撃者はX-WEBAUTH-USERというHTTPヘッダーに任意のユーザー名を設定して送信するだけで、パスワードやトークンなしにそのユーザーとして認証されてしまう。Mustafa氏は「ポートに到達できる者は誰でもX-WEBAUTH-USERヘッダーを送信し、パスワードもトークンも使わずに任意のユーザーとして認証される状態だった」と説明している。さらに自動登録(auto-registration)機能が有効な構成では、既知の管理者ユーザー名になりすますことで、攻撃者が管理者権限まで取得できる危険性があった。影響を受けるのはGitea公式Dockerイメージのバージョン1.26.2以前で、修正版の1.26.3・1.26.4ではこのワイルドカードのデフォルト値が撤廃され、リバースプロキシ認証はオプトイン方式に変更された。

悪用の状況とタイムライン

脆弱性は2026年6月下旬に公開された。Sysdigによれば、最初の実際の悪用行為はその13日後に検出されており、送信元はProtonVPNのIPアドレス(159.26.98[.]241)からのものだった。SysdigのシニアディレクターMichael Clark氏のコメントには報道間で幅があり、SecurityWeekやBleepingComputerでは「開示から2週間足らず後(13日後)に実悪用が始まっていた」とする一方、The Hacker Newsでは「現時点の活動は攻撃者による初期調査(偵察)段階にとどまり、本格的な侵害への進展は確認されていない」とも報じられている。いずれの報道でも、脅威アクターがこの脆弱性に強い関心を寄せ、積極的にプロービングを行っている点では一致している。

Sysdigの調査では、インターネットに公開されているGiteaインスタンスは全世界で約6,200件確認されているが、そのうち実際に脆弱な設定のまま稼働している数までは特定されていない。悪用に成功した場合、攻撃者はプライベートリポジトリのソースコード、誤ってコミットされたAPIキーや認証情報、CI/CD設定、デプロイトークンなど、機密性の高い資産に完全にアクセスできてしまう。シンガポールのサイバーセキュリティ庁(CSA)もこの脆弱性について注意喚起を発行している。

今後の対応

Gitea運用者に対しては、直ちに修正版である1.26.3以降(推奨は1.26.4)へアップグレードすることが強く求められている。何らかの理由で即時のアップグレードが困難な場合は、REVERSE_PROXY_TRUSTED_PROXIES設定を実際に信頼できる特定のIPアドレスやCIDR範囲に限定することで、暫定的にリスクを低減できる。加えて、過去のアクセスログを確認し、不審なX-WEBAUTH-USERヘッダーを伴うリクエストや、身に覚えのない管理者アカウントでのログイン履歴がないか点検することも推奨されている。今回のケースは、公式コンテナイメージのデフォルト設定が誤っていた場合、パッチ公開後もごく短期間で実運用環境への攻撃に直結し得ることを改めて示す事例となった。