GitteaのCVE-2026-20896が積極悪用、HTTPヘッダー1行でパスワードなしに管理者権限を奪取

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「Giteaを使って社内でソースコードを管理しているけど、本当に安全なの?」
「HTTPヘッダー1行で管理者になれるって、どういうことでしゅか?」

チップス

ボス、GiteaのCVE-2026-20896って本当にヤバいんでしゅよね。パスワードもトークンも要らないって意味でしゅか?

ボス

ああ、ヤバい。X-WEBAUTH-USERというヘッダーを1行付けて送るだけで、パスワードなしに管理者アカウントを含む任意のユーザーに成りすませる。しかも公開から13日で実際の攻撃が確認されている。

2026年7月、GitteaのDockerイメージに存在するCVSS9.8の認証バイパス脆弱性CVE-2026-20896が積極的に悪用されていることが確認されました。
デフォルト設定の誤りが原因で、攻撃者はHTTPヘッダーを1行追加するだけで管理者権限を乗っ取ることができます。
現在もインターネット上に公開されたままの約6200台のGiteaサーバーが危険にさらされている状況です。

  • CVSSスコア9.8、Gitea Docker 1.26.2以下が影響対象。今すぐ1.26.3以上へアップデートを
  • パスワード・トークン一切不要。HTTPヘッダー1行で管理者になりすませるデフォルト設定の欠陥
  • 公開から13日で積極悪用が確認。ソースコードやAPIキー・CI/CD設定が丸ごと奪われるリスク

この記事では、脆弱性の仕組みと悪用状況、そして今すぐ取るべき対策を解説します。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

CVE-2026-20896の発覚と悪用の経緯

脆弱性の発覚から積極悪用に至るまでの経緯を整理します。

CVSS9.8のCritical脆弱性、公開からわずか13日で積極悪用へ

CVE-2026-20896はGitea公式Dockerイメージのバージョン1.26.2以前に存在する認証バイパス脆弱性です。
CVSSスコアは9.8(Critical)と評価されており、パスワードやトークンを一切必要とせずに任意のユーザーになりすましが可能です。

脆弱性の公表後、わずか13日以内に実際の攻撃活動が確認されました。
以下に発覚から悪用までの経緯をまとめます。

  • Gitea 1.26.3/1.26.4で修正パッチが公表される
  • 公表から13日後、ProtonVPN出口ノード(IP: 159.26.98[.]241)からの探索活動を研究者が検知
  • Shodan調査で約6,200台のGiteaサーバーがインターネットに公開状態と判明
  • セキュリティ研究者がCISAへの報告と同時に広範な警告を発表
チップス

13日って早すぎでしゅ!パッチが出てもすぐに悪用されてしまうんでしゅね。

ボス

脆弱性の詳細が公開されると、攻撃者はすぐにスキャンツールを作って動かし始める。パッチを当てるまでの時間が勝負だ。

社内Gitサーバーを持つ企業や開発チームへの影響

Giteaは、GitHubのセルフホスト代替として世界中の開発チームに採用されています。
日本国内でも、セキュリティ上の理由からクラウド型サービスを避け、社内にGitリポジトリサーバーを立てているケースは少なくありません。

インターネットに公開されているGiteaサーバーが今回の攻撃対象となっています。
特に影響が大きいのは以下のような組織です。

  • VPNなしで社外からGitteaにアクセスできるよう公開しているチーム
  • Docker公式イメージをそのままデフォルト設定で使用している環境
  • バージョン管理が追いついておらず、1.26.2以前を継続して利用している組織

脆弱性の仕組みと奪われるデータの深刻さ

なぜHTTPヘッダー1行で管理者権限が奪えるのか、その仕組みを解説します。

デフォルト設定の誤りが招いた認証バイパスの仕組み

この脆弱性の根本原因は、Gitea公式Dockerイメージのデフォルト設定にあります。
通常、リバースプロキシ認証では「信頼できるプロキシのIPのみを許可する」設定が必要です。
しかし1.26.2以前のDockerイメージは REVERSE_PROXY_TRUSTED_PROXIES = * という設定になっており、あらゆるIPアドレスを信頼できるプロキシとして扱います。

この設定の下でリバースプロキシ認証が有効になっていると、攻撃者は以下の手順だけで管理者になりすませます。

  • 攻撃者はGiteaへのHTTPリクエストに X-WEBAUTH-USER: admin というヘッダーを1行追加する
  • Giteaはこのヘッダーをリバースプロキシからのユーザー認証情報として信頼する
  • パスワードも2FAも一切確認せずに、指定したユーザーとしてログイン状態になる

ソースコードからCI/CD設定まで、奪われるデータの深刻さ

チップス

管理者に成りすましできたら、何でもできてしまうんでしゅか?

ボス

そうだ。ソースコードはもちろん、リポジトリの中に埋め込まれたシークレットが根こそぎ持ち出される。しかもCI/CDの設定を改ざんされると、ビルドパイプライン経由でマルウェアを仕込まれるサプライチェーン攻撃にもつながる。

管理者権限を奪われると、以下のようなデータや権限が危険にさらされます。

  • 全リポジトリのソースコード(プライベートリポジトリを含む)
  • リポジトリ内に保存されたAPIキー・データベース認証情報・SSH秘密鍵
  • CI/CDパイプライン設定の改ざん(サプライチェーン攻撃に悪用される可能性)
  • 全ユーザーのアカウント情報とアクセス権限の操作

修正済みのGitea 1.26.3/1.26.4では、リバースプロキシ認証はデフォルトで無効となり、オプトイン方式に変更されました。
現在Giteaを利用している場合は、Gitea公式ブログのリリースノートを確認のうえ、即時アップデートを実施してください。

まとめ

ボス

Giteaを使っているなら今すぐバージョンを確認しろ。1.26.2以前なら即日アップデートだ。インターネットに公開しているなら、パッチ前にアクセス制限をかけることも考えるべきだな。

チップス

わかりましゅ!バージョン確認してすぐにアップデートしましゅ!

CVE-2026-20896はデフォルト設定の誤りという単純な原因ながら、認証を完全にバイパスできるCVSS9.8の深刻な脆弱性です。
公開から13日という短期間で実際の攻撃が確認されており、Gitea Dockerを利用しているすべての環境で即時対応が求められます。
バージョン1.26.3以上へのアップデート、インターネットへの不必要な公開の解消、そしてリポジトリ内に平文で保存されたシークレットの棚卸しを、今すぐ実施してください。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次