つみかさね

CVE-2026-20896

Critical(9.8)

GiteaのDockerイメージ 認証バイパス CVE-2026-20896:影響範囲と対応方法

公開日: 2026-07-05データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Gitea Docker イメージGitea< v1.26.3

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1Gitea のバージョンを確認する(v1.26.2 以前であれば対応必要)
  2. 2Docker イメージのデプロイ方法を確認する
  3. 3v1.26.3 以降の Docker イメージへアップデートする
  4. 4アップデートが困難な場合は REVERSE_PROXY_TRUSTED_PROXIES を信頼できる IP に制限する

影響対象

Gitea Docker イメージ利用者(v1.26.2以前、リバースプロキシ認証使用環境)

補足

  • -リバースプロキシ認証ヘッダー(X-WEBAUTH-USER 等)を使用していない場合は影響なし
  • -Docker 以外(バイナリ直接起動等)の場合はこの CVE の影響を受けない

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

CVEGiteaDocker認証バイパスSSRF

30秒で判断

対応すべき人:

  • Gitea の Docker イメージを v1.26.2 以前で運用している
  • X-WEBAUTH-USER 等のリバースプロキシ認証ヘッダーを有効にしている

対応不要な人:

  • Gitea を Docker 以外の方法(バイナリ直接起動等)で運用している
  • リバースプロキシ認証ヘッダーを使用していない
  • すでに v1.26.3 以降を使用している

確認コマンド:

# 使用中の Gitea バージョン確認
docker exec <gitea_container> gitea --version

# 環境変数の確認
docker inspect <gitea_container> | grep REVERSE_PROXY_TRUSTED_PROXIES

概要

Gitea の Docker イメージ v1.26.2 以前では、REVERSE_PROXY_TRUSTED_PROXIES 環境変数がデフォルト値 *(すべての IP を信頼)に設定されています。この設定により、X-WEBAUTH-USER などのリバースプロキシ認証ヘッダーが有効な環境では、任意の送信元 IP からリクエストを送信してヘッダーを偽造することで、任意のユーザーへのなりすましが可能になります。

本来は信頼できるリバースプロキシからのリクエストのみを受け付けるべきですが、デフォルト設定では全 IP が信頼されるため、外部ネットワークから直接 Gitea にアクセスできる場合に深刻なリスクがあります。

CVSS ベクトル

項目
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
Confidentiality ImpactHigh
Integrity ImpactHigh
Availability ImpactHigh
CVSS Score9.8 (Critical)

影響を受けるソフトウェア

製品バージョン
Gitea Docker イメージv1.26.2 以前

修正バージョンと回避策

修正バージョン: v1.26.3 以降

回避策:

# docker-compose.yml または環境変数で信頼する IP を制限する
GITEA__security__REVERSE_PROXY_TRUSTED_PROXIES=127.0.0.1,192.168.1.0/24

# または Docker Compose の環境変数として
environment:
  - GITEA__security__REVERSE_PROXY_TRUSTED_PROXIES=127.0.0.1

関連リンク


データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。