Nguồn: dustri.org
Tóm tắt
Nhà nghiên cứu bảo mật jvoisin đã phát hiện một loạt lỗ hổng nghiêm trọng trong Forgejo — nền tảng git forge mã nguồn mở mà Fedora gần đây chuyển sang sau Pagure. Chỉ trong một buổi tối sau giờ làm, ông tìm thấy SSRF ở nhiều điểm, thiếu CSP/Trusted-Types, lỗi mật mã học, vấn đề trong xác thực OAuth2/OTP, nhiều vector DoS, và rò rỉ thông tin diện rộng — đủ để chain thành một RCE đầy đủ, đánh cắp secret, và leo quyền OAuth2.
Thay vì báo cáo qua coordinated disclosure thông thường (mà tác giả không tin sẽ dẫn đến cải thiện toàn diện), jvoisin áp dụng “Carrot Disclosure” — một mô hình công khai chỉ output của exploit đã bị redact để chứng minh phần mềm bị khai thác được, mà không công bố chi tiết kỹ thuật. Vendor buộc phải lựa chọn: audit toàn diện codebase để hi vọng vá được lỗ hổng, hoặc mất người dùng không muốn chạy phần mềm đã biết là vulnerable.
PoC trình diễn tạo thành công backdoor admin và thực thi lệnh từ xa (uid=1000) trên instance mục tiêu. Khai thác yêu cầu open registration được bật và một configuration option không-mặc-định, điều kiện này tồn tại trên một số instance thực tế đã được kiểm tra. RCE được thực hiện qua server-side hook sau khi git push.
Sự kiện này đặt ra câu hỏi lớn cho các tổ chức đang chuyển sang Forgejo như một self-hosted alternative cho GitHub: mức độ security audit của codebase fork từ Gitea còn nhiều vấn đề cần giải quyết trước khi đủ tin cậy cho production nghiêm túc.