Peretas Aktif Mengeksploitasi Celah Kritis pada Docker Image Gitea, Bisa Login Sebagai Administrator

Peretas mulai aktif mengeksploitasi kerentanan kritis pada Docker image resmi Gitea yang memungkinkan penyerang melewati proses autentikasi dan menyamar sebagai pengguna mana pun, termasuk administrator, tanpa memerlukan kata sandi maupun token.
Kerentanan tersebut terdaftar sebagai CVE-2026-20896 dan memengaruhi instalasi Gitea yang menggunakan konfigurasi bawaan pada Docker image resmi.
Celah Memungkinkan Login Tanpa Password
Menurut peneliti keamanan utama Sysdig, Michael Clark, eksploitasi terhadap celah ini telah terdeteksi di dunia nyata kurang dari dua minggu setelah vendor merilis advisory keamanan.
Masalahnya berasal dari konfigurasi bawaan Docker image Gitea yang menetapkan:
REVERSE_PROXY_TRUSTED_PROXIES=*
Konfigurasi tersebut membuat Gitea mempercayai header autentikasi seperti X-WEBAUTH-USER dari semua alamat IP, bukan hanya dari reverse proxy terpercaya.
Akibatnya, penyerang cukup mengirimkan request HTTP dengan header:
X-WEBAUTH-USER: admin
maka Gitea akan menganggap permintaan tersebut berasal dari akun administrator.
Clark menjelaskan bahwa kondisi ini memungkinkan penyerang mengakses akun apa pun tanpa autentikasi.
“Tanpa password. Tanpa token. Hanya satu header.”
Sekitar 6.200 Server Gitea Terpapar Internet
Saat ini diperkirakan terdapat sekitar 6.200 instance Gitea yang dapat diakses melalui internet. Belum diketahui berapa banyak di antaranya yang masih menggunakan konfigurasi rentan.
Gitea sendiri merupakan platform Git self-hosted berbasis open source yang banyak digunakan sebagai alternatif GitHub maupun GitLab untuk:
- Menyimpan source code
- Mengelola repository Git
- Pull request dan code review
- CI/CD
- Kolaborasi pengembangan aplikasi
Karena sering digunakan di lingkungan perusahaan, keberhasilan eksploitasi dapat memberikan akses ke source code, pipeline CI/CD, hingga kredensial internal.
Hanya Docker Image Resmi yang Terdampak
Kerentanan ini secara khusus memengaruhi:
- Docker image resmi Gitea
- Versi 1.26.2 dan lebih lama
- Dengan konfigurasi default
Masalah muncul ketika autentikasi reverse proxy diaktifkan namun Gitea tetap mempercayai header identitas dari sembarang klien.
Vendor memperingatkan bahwa akun administrator seperti:
- admin
- gitea_admin
menjadi target utama karena nama pengguna tersebut mudah ditebak.
Sudah Dieksploitasi di Dunia Nyata
Sysdig mengungkapkan sensor mereka mendeteksi serangan pertama berasal dari sebuah VPN exit node yang melakukan pemindaian internet dan langsung mencoba memperoleh akses menggunakan teknik tersebut.
Selain itu, Cyber Security Agency of Singapore (CSA) juga telah mengeluarkan peringatan resmi bahwa CVE-2026-20896 saat ini sedang dieksploitasi secara aktif.
Solusi: Segera Perbarui ke Versi Terbaru
Tim Gitea telah merilis:
- Gitea 1.26.3
- Gitea 1.26.4
Namun pengguna disarankan langsung memperbarui ke versi 1.26.4 karena selain menutup CVE-2026-20896, versi tersebut juga memperbaiki bug tambahan serta regresi yang muncul pada rilis 1.26.3.
Apabila belum memungkinkan melakukan upgrade, administrator disarankan untuk:
- Mengubah konfigurasi
REVERSE_PROXY_TRUSTED_PROXIESagar hanya berisi alamat IP reverse proxy yang benar-benar dipercaya. - Tidak menggunakan wildcard (
*). - Memeriksa access log untuk mencari indikasi adanya akses mencurigakan atau penyamaran akun administrator.
Dengan meningkatnya eksploitasi terhadap platform pengembangan perangkat lunak, administrator disarankan memperlakukan server Git seperti aset kritikal lainnya karena kebocoran repository maupun pipeline CI/CD dapat membuka jalan bagi serangan supply chain yang lebih luas.
Sumber: Gitea Security Team








