https://news.dhphong.com/tags/vulnerability-disclosure/ Recent content in Vulnerability-Disclosure on Tech News Feed Hugo -- 0.131.0 vi Wed, 29 Apr 2026 00:03:06 +0700 https://news.dhphong.com/posts/2026-04-29-carrot-disclosure-forgejo-rce/ Wed, 29 Apr 2026 00:03:06 +0700 https://news.dhphong.com/posts/2026-04-29-carrot-disclosure-forgejo-rce/ Nguồn: dustri.org Tóm tắt Nhà nghiên cứu bảo mật jvoisin đã phát hiện một loạt lỗ hổng nghiêm trọng trong Forgejo — nền tảng git forge mã nguồn mở mà Fedora gần đây chuyển sang sau Pagure. Chỉ trong một buổi tối sau giờ làm, ông tìm thấy SSRF ở nhiều điểm, thiếu CSP/Trusted-Types, lỗi mật mã học, vấn đề trong xác thực OAuth2/OTP, nhiều vector DoS, và rò rỉ thông tin diện rộng — đủ để chain thành một RCE đầy đủ, đánh cắp secret, và leo quyền OAuth2.