Il report mensile di Forgejo per maggio 2026 dedica più spazio del solito alla sicurezza, e non per caso: nelle settimane precedenti il progetto si è trovato al centro di due polemiche distinte, entrambe legate a vulnerabilità reali o presunte.
La “Carrot Disclosure”
Il 28 aprile il ricercatore di sicurezza Julien Voisin ha pubblicato un articolo dal titolo “Carrot Disclosure: Forgejo” in cui descriveva di aver trovato, nel giro di una serata, una quantità considerevole di problemi nel codice, tra cui SSRF, errori crittografici, difetti nei meccanismi di autenticazione OAuth2 e vari vettori di denial of service, poi concatenati in un proof-of-concept di esecuzione di codice remoto. Anziché seguire la procedura di divulgazione responsabile prevista da Forgejo, ha pubblicato l’output redatto dello script, lasciando intendere l’esistenza della vulnerabilità senza rivelarne i dettagli, nella speranza di spingere il progetto a condurre un audit complessivo del codice.
// affiliato ▸ Infomaniak kDrive · Il cloud svizzero alternativo a Google Drive · Provalo gratis →
La risposta iniziale del team di sicurezza è stata il silenzio: come volontari, hanno spiegato nel report, non sono in condizione di eseguire revisioni sistemiche su richiesta. Due giorni dopo, Voisin ha cambiato approccio e ha inviato i proof-of-concept al team, con una lettera di scuse allegata. Il team ha analizzato il materiale e ha concluso che nessuna delle vulnerabilità segnalate costituisce un’esecuzione di codice remoto nel senso stretto del termine: le più gravi richiedono che la registrazione aperta sia attiva e che alcune opzioni di configurazione non predefinite siano abilitate, e in ogni caso presuppongono l’accesso a credenziali interne o di amministrazione. Tutte le issue sono ora pubbliche sul tracker di Codeberg.
Vale la pena notare che il codice base di Forgejo è ereditato da Gitea e Gogs, una circostanza che Voisin stesso riconosce nel post originale come attenuante.
La CVE-2026-27771 e i registri container
La seconda vicenda riguarda una vulnerabilità più concreta. Il 27 maggio la società di sicurezza NoScope ha divulgato la CVE-2026-27771, individuata nel registro container integrato di Gitea: a causa di un difetto nel controllo degli accessi a livello di protocollo OCI, le immagini contrassegnate come private erano di fatto scaricabili da chiunque, senza autenticazione, tramite le API di registro usate da Docker e Kubernetes. Il problema era presente da circa quattro anni, dalla prima introduzione del registro container, e secondo le stime di NoScope riguarderebbe oltre 30.000 installazioni esposte su internet.
Gitea ha rilasciato la versione 1.26.2 con una correzione. Per Forgejo la situazione è più sfumata: il team sostiene che il proprio modello di visibilità dei pacchetti, legato alla visibilità del proprietario piuttosto che al repository, non sia affetto dalla stessa vulnerabilità. NoScope afferma invece di aver verificato che anche Forgejo condivide l’implementazione vulnerabile. Chi gestisce un’istanza Forgejo con il registro container attivo farebbe bene a monitorare il canale dei rilasci in attesa di indicazioni ufficiali, e nel frattempo può impostare REQUIRE_SIGNIN_VIEW=true come misura precauzionale.
A margine del report, Forgejo segnala anche che il supporto per le versioni v14 è terminato il 30 aprile, mentre quello per v11 scadrà il 16 luglio: chi non è ancora su v15 dovrebbe aggiornare.
Mastodon
Telegram
Bluesky
RSS
Newsletter
Lascia un commento