La opción «Confiar en todos» casi compromete a miles de desarrolladores.

La vulnerabilidad en Gitea ya comenzó a ser investigada por atacantes, y el riesgo es especialmente notable para servidores expuestos en Internet y que funcionan en contenedores Docker. Según Sysdig, se intentó explotar la vulnerabilidad por primera vez 13 días después de que el problema se hiciera público.
La falla CVE-2026-20896 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H — 9.8 Critical) afecta a las imágenes Docker de Gitea hasta la versión 1.26.2 inclusive. Gitea se utiliza para alojar y desarrollar código de forma colaborativa, por lo que comprometer un servidor así puede dar a los atacantes acceso a proyectos, cuentas y datos internos de los equipos.
La vulnerabilidad se produjo por la forma en que se configuró el proxy inverso. En la plantilla del archivo app.ini para las imágenes Docker, el parámetro de proxies de confianza se estableció por defecto como «*». Debido a ello, el servidor confiaba efectivamente en solicitudes desde cualquier dirección IP. Si el administrador activaba el inicio de sesión mediante proxy inverso, un atacante podría enviar la cabecera especial X-WEBAUTH-USER y hacerse pasar por cualquier usuario conocido o supuesto sin contraseña ni token.
El especialista en seguridad Ali Mustafa, que descubrió y notificó el problema, explicó que si el registro automático estaba activado, el nombre de administrador otorgaba privilegios de administrador. El valor seguro del parámetro debería limitar los proxies de confianza a la interfaz local, pero la imagen Docker oficial utilizaba una configuración más peligrosa.
Gitea publicó una corrección en la versión 1.26.3 a finales de junio. En la nueva versión los desarrolladores eliminaron el carácter comodín «*» y convirtieron el inicio de sesión mediante proxy inverso en una función opcional que debe activarse por separado.
Sysdig registró que se intentó explotar la vulnerabilidad por primera vez desde la dirección IP de un servicio de anonimización de tráfico. Según la compañía, la actividad por ahora parece un reconocimiento inicial y no ha pasado a un ataque completo. Además, hay alrededor de 6200 instancias de Gitea accesibles en Internet, por lo que se recomienda a los administradores actualizar lo antes posible las imágenes Docker y verificar la configuración del proxy inverso.