Una falla en las imágenes Docker de Gitea permite obtener acceso de administrador con un solo encabezado HTTP
Las imágenes Docker de Gitea, un sistema para alojar repositorios de código, venían configuradas por defecto para confiar en cualquier solicitud que declarara ser de un administrador, sin pedir contraseña ni token. Ya se detectaron atacantes explorando servidores vulnerables, aunque por ahora se trata de reconocimiento y no de ataques confirmados. Existe una actualización disponible desde el mes pasado.
Qué ocurrió
Las imágenes oficiales de Docker para Gitea, una plataforma para alojar repositorios de código, venían configuradas por defecto para confiar en un encabezado HTTP que declara la identidad del usuario, sin verificar quién lo envía. Cualquiera que se conectara al servidor podía declararse administrador y obtener acceso completo, sin contraseña, token ni sesión iniciada. La falla se corrigió en la versión 1.26.3, publicada el mes pasado. Trece días después de conocerse el problema, ya se detectaron atacantes explorando servidores vulnerables, aunque hasta ahora se trata de reconocimiento y no de ataques confirmados.
Quién está expuesto
Para organizaciones
Empresas y equipos de desarrollo que alojan su propio servidor Gitea usando Docker y no han aplicado la actualización.
A considerar
Confirmar la versión de Gitea en uso. Si es anterior a 1.26.3, aplicar la actualización o restringir manualmente qué direcciones pueden enviar el encabezado de identidad.
Impacto potencial
Un atacante con acceso de administrador podría modificar código fuente, insertar código malicioso en proyectos, robar información confidencial de los repositorios o eliminar el historial de cambios.
Leer fuente original →