https://newsfeed.avintaris.com News zum Thema Forgejo de Fri, 22 May 2026 21:22:05 +0000 https://blog.gitea.com/release-of-1.26.2/ https://blog.gitea.com/release-of-1.26.2/ Wed, 20 May 2026 12:00:00 +0000 Forgejo Gitea hat am 20.05.2026 Version 1.26.2 als Security-Release veröffentlicht. Sieben offiziell gelistete CVEs werden gefixt, alle von Maintainer @lunny eingespielt: CVE-2026-27783 (Reading-Permission-Fix, gemeldet von @hoangperry), CVE-2026-25714 (Vereinheitlichung von public-only-Token-Filtering in API-Queries und Repo-Access-Checks, gemeldet von Medoedus), CVE-2026-20706 (fehlende Token-Scope-Checks, gemeldet von geoo115), CVE-2026-27771 (Label-Behandlung für Private/Internal Packages + Composer-Package-Source-Permission-Check, gemeldet von NoScope), CVE-2026-28744 (Smart-HTTP-Request-Scope-Bug, gemeldet von ohxorud-dev), CVE-2026-28699 (Basic-Auth-Bug, gemeldet von Wesley Colquitt / ByteShyftStudios LLC / @Alardiians) und CVE-2026-26231 (Maintainer-Edit-Permission-Check-Bypass, gemeldet von Arvin Shivram / Brutecat Security). Dazu kommen sieben weitere Security-Hardenings ohne CVE-ID (OAuth-Validation, Token-Scope-Enforcement, Artifact-Signaturen, URL-Sanitization). Die deployed Box läuft auf Gitea 1.26.1 und ist damit für diese sieben CVEs verwundbar. Forgejo (15.0.2 / 11.0.14) ist von dieser Welle nicht direkt betroffen, da die Codebasen seit v1.21 (Feb 2024) divergiert sind — die Forgejo-Maintainer cherry-picken aber regelmäßig sicherheitsrelevante Gitea-Commits, ein zukünftiger Forgejo-Patch (15.0.3 / 11.0.15) mit Teilen dieser Fixes ist wahrscheinlich. https://forgejo.org/releases/ https://forgejo.org/releases/ Tue, 12 May 2026 12:00:00 +0000 Forgejo Beide aktuell unterstützten LTS-Linien haben am selben Tag Patch-Releases erhalten. v15.0.2 ist aktuelle LTS (Support bis 15.07.2027), v11.0.14 läuft auf auslaufenden v11.0-LTS-Linie (Support bis 15.07.2026). Binaries für Linux amd64/arm-6/arm64, Container auf codeberg.org/forgejo/-/packages/container/forgejo. CI mit Unit-/Integration-Tests gegen MySQL/PostgreSQL/SQLite durchlaufen. https://forgejo.org/2026-04-release-v15-0/ https://forgejo.org/2026-04-release-v15-0/ Thu, 16 Apr 2026 12:00:00 +0000 Forgejo Major LTS-Release (Support bis 15.07.2027). Kernfeatures: (1) Repository-specific Access Tokens — Tokens auf bestimmte Repos einschränkbar (Security-Hardening); (2) OpenID Connect Support in Actions — Federated Identity für CI/CD, ersetzt langlebige statische Secrets; (3) Ephemeral Runners — temporäre Credentials für Autoscaling; (4) Container Auto-Linking — Packages automatisch mit Source-Repos verknüpft; (5) Reusable Workflow Expansion ohne erzwungenes Top-Level runs-on; (6) Git Notes editierbar direkt im PR-View. **BREAKING:** Default-Cookie-Name geändert (alle User müssen sich neu einloggen, außer COOKIE_REMEMBER_NAME=gitea_incredible gesetzt); Docker-rootless Config-Pfad verschoben — Legacy-Kompat entfernt. https://github.com/ClemaX/Gitea-Forgejo-CVE-2026 https://github.com/ClemaX/Gitea-Forgejo-CVE-2026 Sun, 26 Oct 2025 12:00:00 +0000 Forgejo Directory-Traversal-Lücke im Repository-Template-Processing erlaubt authentifizierten Remote-Angreifern Zugriff auf beliebige Filesystem-Pfade — eskalierbar bis zu **RCE** durch Injection in .ssh/authorized_keys des git-Users. Betrifft Forgejo ≤ v11.0.6 und v12.0.0 bis v13.0.1 — und parallel auch **Gitea** (geteilte Codebase). Gefixt durch Security-Patches am 26.10.2025 für alle aktiven Linien.