30秒で判断
対応すべき人:
- Gitea の Docker イメージを v1.26.2 以前で運用している
X-WEBAUTH-USER等のリバースプロキシ認証ヘッダーを有効にしている
対応不要な人:
- Gitea を Docker 以外の方法(バイナリ直接起動等)で運用している
- リバースプロキシ認証ヘッダーを使用していない
- すでに v1.26.3 以降を使用している
確認コマンド:
# 使用中の Gitea バージョン確認
docker exec <gitea_container> gitea --version
# 環境変数の確認
docker inspect <gitea_container> | grep REVERSE_PROXY_TRUSTED_PROXIES
概要
Gitea の Docker イメージ v1.26.2 以前では、REVERSE_PROXY_TRUSTED_PROXIES 環境変数がデフォルト値 *(すべての IP を信頼)に設定されています。この設定により、X-WEBAUTH-USER などのリバースプロキシ認証ヘッダーが有効な環境では、任意の送信元 IP からリクエストを送信してヘッダーを偽造することで、任意のユーザーへのなりすましが可能になります。
本来は信頼できるリバースプロキシからのリクエストのみを受け付けるべきですが、デフォルト設定では全 IP が信頼されるため、外部ネットワークから直接 Gitea にアクセスできる場合に深刻なリスクがあります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| Attack Vector | Network |
| Attack Complexity | Low |
| Privileges Required | None |
| User Interaction | None |
| Confidentiality Impact | High |
| Integrity Impact | High |
| Availability Impact | High |
| CVSS Score | 9.8 (Critical) |
影響を受けるソフトウェア
| 製品 | バージョン |
|---|---|
| Gitea Docker イメージ | v1.26.2 以前 |
修正バージョンと回避策
修正バージョン: v1.26.3 以降
回避策:
# docker-compose.yml または環境変数で信頼する IP を制限する
GITEA__security__REVERSE_PROXY_TRUSTED_PROXIES=127.0.0.1,192.168.1.0/24
# または Docker Compose の環境変数として
environment:
- GITEA__security__REVERSE_PROXY_TRUSTED_PROXIES=127.0.0.1
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
