
自架 Gitea 用 Docker 要即刻睇:一個 header 已可冒認用戶
1.26.3 已封洞,官方建議直接升 1.26.4
件事點解要即刻睇
如果你有自架 Gitea,尤其係用官方 Docker image 再擺 reverse proxy 前面,呢單唔止係叫你例行升級。Gitea 官方 security advisory 寫明,gitea/gitea 1.26.2 或以下 Docker image 入面嘅 app.ini template,預設寫住 REVERSE_PROXY_TRUSTED_PROXIES = *。咁一嚟,只要你開咗 reverse-proxy authentication,任何可以掂到 container HTTP port 嘅人,都有機會塞 X-WEBAUTH-USER header,扮成已經有嘅用戶登入。
出現試探,但數字要讀清楚
iThome 7 月 8 日報道指,Sysdig 威脅研究嘅 Michael Clark 近期見到有人用 VPN 對呢個洞做試探;The Hacker News 7 月 6 日亦引述 Clark 話,初步活動似係 early probing,暫時未見後續攻擊鏈推落去。另一個要小心讀嘅數字係約 6,200:呢個係當時 Shodan 搵到網上可達嘅 Gitea instances,唔等於 6,200 部全部中招,但足夠說明自架 Git server 唔算細目標。
個洞其實錯喺邊
Reverse proxy auth 本身唔罕見:公司會用 Nginx、Traefik、SSO proxy 先驗身份,再用 header 同後面嘅 app 講「呢個係邊個 user」。呢套設計有個前提,就係後面個 app 只信前面嗰部 proxy。Gitea 文件入面安全預設係只信 loopback:127.0.0.0/8,::1/128。今次問題就喺 Docker image template 寫咗 *,即係全部來源都當可信 proxy。你平時 docker compose 貪快開 ports: 3000:3000,或者 cloud security group 冇收窄,條信任界線就穿咗。
邊啲部署最危
受影響唔係所有 Gitea。官方 advisory 寫得幾清楚:重點係 gitea/gitea Docker image,版本 <= 1.26.2,兼且管理員開咗 ENABLE_REVERSE_PROXY_AUTHENTICATION = true。如果你係用 binary 或自己 build,仲跟 app.example.ini 嗰個 loopback-only 預設,官方話唔受呢個預設問題影響。不過現實最麻煩係好多人都係「先開到用先」:反向代理放前面,但 container port 又留咗條旁路俾外面打入嚟。私有 repo、issue、deploy key、webhook、CI/CD secret,全部都可能變成下一步跳板。
修補同臨時做法
最乾淨係升級:漏洞喺 1.26.3 封咗,Gitea blog 又建議直接升 1.26.4,因為 1.26.4 補返 1.26.3 帶嚟嘅 repository code page regression,仲有一個 OAuth2 callback security fix。未升到之前,先做三件事:關咗 reverse proxy authentication;或者改 REVERSE_PROXY_TRUSTED_PROXIES 做你真正 proxy 嘅 IP / CIDR,唔好留 *;再用 firewall、Docker network、security group 收起 Gitea HTTP port,確保外面打唔到 container。ENABLE_REVERSE_PROXY_AUTO_REGISTRATION 如果有開,先關咗,因為 advisory 話呢個設定會令冒認影響再擴大。
檢查清單:唔好只係升級就算
呢類 auth bypass 麻煩位係你未必即刻見到破壞痕跡。升級之後要翻 access log,睇吓有冇非 proxy IP 帶住 X-WEBAUTH-USER、X-WEBAUTH-EMAIL 呢類 header 入嚟;再查新建 user、admin group、SSH key、deploy token、repo webhook、Actions runner 同 secret 有冇異常改動。公司或者 agency 如果用 Gitea 接 AI coding agent、內部 CI、客戶私有 repo,呢單要當成 source code 同 secret 外洩風險處理,唔好淨係當 web login bug。
TechLab 點睇
TechLab 睇法好簡單:呢單最值得記住係:container image 入面一個預設設定,已經可以改變成套登入信任邏輯。自架服務出事,好多時就係呢啲設定夾埋先出問題:reverse proxy、Docker port mapping、cloud firewall 分開睇似冇事,放埋一齊就可能變成繞過入口。用開 Gitea Docker 嘅 developer、學校 lab、startup 同 homelab,而家先確認版本同設定,再決定要唔要 rotate token 同 CI secret。
參考來源
- iThome — 【資安日報】7月8日,逾6千臺Gitea系統恐曝露在重大漏洞攻擊的資安風險 — original report
- iThome:開源版本控制系統Gitea重大漏洞遭到利用 — 補充 Sysdig、Michael Clark 同 Shodan 約 6,200 instances 呢組說法。
- Gitea GitHub Security Advisory GHSA-f75j-4cw6-rmx4 — 官方漏洞細節,核對受影響版本、設定成因、impact 同 CVSS 9.8。
- Gitea 1.26.3 and 1.26.4 release blog — 官方修補版本同升級建議,確認 1.26.3 封洞、1.26.4 建議直升。
- CVEProject cvelistV5:CVE-2026-20896 JSON — 官方 CVE JSON,核對狀態、版本範圍、CVSS 同參考連結。
- Gitea config cheat sheet — 核對 reverse proxy auth 相關設定同安全預設值。
- The Hacker News:Threat Actors Probe Gitea Docker Flaw CVE-2026-20896 — 交代 Sysdig/Clark 對試探活動、ProtonVPN 來源同約 6,200 instances 嘅補充。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







