20.05.2026
·Gitea Blog·erfasst 22.05.2026
Gitea hat am 20.05.2026 Version 1.26.2 als Security-Release veröffentlicht. Sieben offiziell gelistete CVEs werden gefixt, alle von Maintainer @lunny eingespielt: CVE-2026-27783 (Reading-Permission-Fix, gemeldet von @hoangperry), CVE-2026-25714 (Vereinheitlichung von public-only-Token-Filtering in API-Queries und Repo-Access-Checks, gemeldet von Medoedus), CVE-2026-20706 (fehlende Token-Scope-Checks, gemeldet von geoo115), CVE-2026-27771 (Label-Behandlung für Private/Internal Packages + Composer-Package-Source-Permission-Check, gemeldet von NoScope), CVE-2026-28744 (Smart-HTTP-Request-Scope-Bug, gemeldet von ohxorud-dev), CVE-2026-28699 (Basic-Auth-Bug, gemeldet von Wesley Colquitt / ByteShyftStudios LLC / @Alardiians) und CVE-2026-26231 (Maintainer-Edit-Permission-Check-Bypass, gemeldet von Arvin Shivram / Brutecat Security). Dazu kommen sieben weitere Security-Hardenings ohne CVE-ID (OAuth-Validation, Token-Scope-Enforcement, Artifact-Signaturen, URL-Sanitization). Die deployed Box läuft auf Gitea 1.26.1 und ist damit für diese sieben CVEs verwundbar. Forgejo (15.0.2 / 11.0.14) ist von dieser Welle nicht direkt betroffen, da die Codebasen seit v1.21 (Feb 2024) divergiert sind — die Forgejo-Maintainer cherry-picken aber regelmäßig sicherheitsrelevante Gitea-Commits, ein zukünftiger Forgejo-Patch (15.0.3 / 11.0.15) mit Teilen dieser Fixes ist wahrscheinlich.
Direkter Handlungsbedarf razzfazz.ai-Stack: Gitea-Update von 1.26.1 → 1.26.2 sollte zeitnah eingeplant werden. Für die Forgejo-Hedge-Strategie: zeigt, wie schnell Gitea Security-Cycles fährt — Forgejo-Patch-Pendant beobachten (security-announcements Issue #54+).
12.05.2026
·Forgejo Releases·erfasst 22.05.2026
Beide aktuell unterstützten LTS-Linien haben am selben Tag Patch-Releases erhalten. v15.0.2 ist aktuelle LTS (Support bis 15.07.2027), v11.0.14 läuft auf auslaufenden v11.0-LTS-Linie (Support bis 15.07.2026). Binaries für Linux amd64/arm-6/arm64, Container auf codeberg.org/forgejo/-/packages/container/forgejo. CI mit Unit-/Integration-Tests gegen MySQL/PostgreSQL/SQLite durchlaufen.
Kein direkter Impact — razzfazz.ai läuft Gitea. Aber relevant als Benchmark für Forgejo-Sicherheits-Cadence falls Migration evaluiert wird.
16.04.2026
·forgejo.org·erfasst 22.05.2026
Major LTS-Release (Support bis 15.07.2027). Kernfeatures: (1) Repository-specific Access Tokens — Tokens auf bestimmte Repos einschränkbar (Security-Hardening); (2) OpenID Connect Support in Actions — Federated Identity für CI/CD, ersetzt langlebige statische Secrets; (3) Ephemeral Runners — temporäre Credentials für Autoscaling; (4) Container Auto-Linking — Packages automatisch mit Source-Repos verknüpft; (5) Reusable Workflow Expansion ohne erzwungenes Top-Level runs-on; (6) Git Notes editierbar direkt im PR-View. **BREAKING:** Default-Cookie-Name geändert (alle User müssen sich neu einloggen, außer COOKIE_REMEMBER_NAME=gitea_incredible gesetzt); Docker-rootless Config-Pfad verschoben — Legacy-Kompat entfernt.
OpenID Connect für CI-Workflows + Repo-scoped Tokens sind genau die Features die wir bei razzfazz.ai für Multi-Tenant-Sicherheit brauchen würden. Strategischer Marker.
ca. Okt 2025
·Codeberg/GitHub Advisory·erfasst 22.05.2026
Directory-Traversal-Lücke im Repository-Template-Processing erlaubt authentifizierten Remote-Angreifern Zugriff auf beliebige Filesystem-Pfade — eskalierbar bis zu **RCE** durch Injection in .ssh/authorized_keys des git-Users. Betrifft Forgejo ≤ v11.0.6 und v12.0.0 bis v13.0.1 — und parallel auch **Gitea** (geteilte Codebase). Gefixt durch Security-Patches am 26.10.2025 für alle aktiven Linien.
**HOCH — Direkter Impact auf razzfazz.ai Stack** — Gitea 1.26.1 ist potenziell betroffen (geteilte Codebase). Prüfen ob Patch eingespielt ist bzw. ob 1.26.1 die fixed Version ist. Repository-Templates ggf. temporär deaktivieren wenn Patch unklar.