要約
-
セキュリティ研究者 jvoisin が一晩で Forgejo の RCE・シークレット漏洩・OAuth2 権限昇格チェーンを発見し、CVE を申請せずに編集済み PoC 出力のみを公開した。
主なポイント
-
攻撃対象領域は SSRF、CSP/Trusted-Types の欠如、脆弱な暗号実装、OAuth2 権限昇格、TOCTOU 競合状態、セッション/OTP 認証の欠陥を含む。
-
RCE チェーン(
chain_alpha.py)はオープン登録と実際のインスタンスに存在する非デフォルト設定オプション 1 つを要件とし、さらに 3 つの追加エクスプロイトチェーンも実装済み。
-
「Carrot disclosure」は攻撃者にすぐ使える exploit を渡さず、編集済み PoC 出力のみを公表してベンダーに総合的な監査を促す手法。
-
Forgejo は Gitea から脆弱性の攻撃対象領域を引き継いでいる。jvoisin はすでに Gitea でも問題を発見しており、孤立したバグではなく構造的な問題であることを示唆している。
-
研究者は Forgejo の Security Policy を通じた pull request 提出や報告を明示的に拒否し、コードベースを段階的なパッチ適用では対処できないほど問題が多いと判断した。
Hacker News コメントレビュー
-
議論の中心は、この状況で carrot disclosure が責任ある開示として適切かどうかという点。唯一確認できたコメント投稿者は研究者の姿勢を「不快」と表現し、Forgejo のセキュリティプロセスは煩雑ではなく明快だと反論した。
-
批判側は、PoC がローカルホスト上のインスタンスを対象としていることを指摘し、その影響範囲が協調的な開示をスキップする理由として十分かどうか疑問を呈している。
注目コメント
-
@dangus: ローカル実行のデモを「大したことない」と批判し、大文字で書かれた Security Policy の文言も通常の responsible disclosure 規範であり、敵対的な姿勢ではないと主張。
原文 | HN で議論する
英語版: Carrot Disclosure: Forgejo · Original source
