🚨 Three Gitea/Gogs vulnerabilities just dropped — and one is a CVSS 9.8 authentication bypass.

If you self-host Gitea or Gogs, this is not a “patch later” situation:

⚠️ CVE-2026-20896 — Gitea Docker auth bypass
Anyone can impersonate any user with one HTTP header: `X-WEBAUTH-USER: admin`

⚠️ CVE-2026-52807 — Stored DOM XSS
A malicious milestone name can survive escaping and execute through Semantic UI.

⚠️ CVE-2026-22874 — Webhook SSRF
Gitea webhooks can become a path to AWS IMDS, cloud credentials, S3, Secrets Manager, ECR, and full cloud privilege abuse.

Self-hosted Git platforms hold source code, CI/CD secrets, deploy keys, webhooks, tokens, and internal infrastructure access.

Your code. Your secrets. Their access.

Upgrade now:
Gitea 1.26.3+
Gogs 0.14.3+

Full technical breakdown 👇
https://thecybersecguru.com/news/cve-2026-20896-gitea-authentication-bypass-dom-xss-ssrf/

#Gitea #Gogs #CyberSecurity #InfoSec #AppSec #DevSecOps #CVE #SSRF #XSS #Docker #CloudSecurity #AWS #IAM #AuthenticationBypass #Vulnerability #SelfHosted #Security

🔍 Iframes aren't the problem.

Blind trust between frames is.

Learn how attackers abuse postMessage, weak sandboxing, and embedded content flows.

👉 https://7asecurity.com/blog/2026/06/iframe-xss-security/

#AppSec #WebSecurity #XSS

🔍 Iframes aren't the problem.

Blind trust between frames is.

Learn how attackers abuse postMessage, weak sandboxing, and embedded content flows.

👉 https://7asecurity.com/blog/2026/06/iframe-xss-security/

#AppSec #WebSecurity #XSS

iX-Workshop: OWASP Top 10 – Sicherheitsrisiken für Webanwendungen verstehen

Lernen Sie die wichtigsten Sicherheitslücken in Webanwendungen kennen und erfahren Sie, wie Sie sich erfolgreich schützen können.

https://www.heise.de/news/iX-Workshop-OWASP-Top-10-Sicherheitsrisiken-fuer-Webanwendungen-verstehen-11331962.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege&utm_source=mastodon

#XSS #CSRF #IT #iXWorkshops #OWASP #news

Тестирование поиска и фильтров: чек-лист + как автоматизировать каждый пункт на Playwright

Поиск кажется простым: поле ввода, запрос, список результатов. Но именно поэтому его тестируют поверхностно — «ввёл слово, что-то нашлось, ок». А реальные баги живут в граничных запросах, в тайминге (debounce, гонки), в пустых и ошибочных состояниях и в фильтрах. Ниже — двухслойный разбор: сначала что проверять , потом как это автоматизировать , с реальными сниппетами на TypeScript. Идея переносится на любой UI-фреймворк, но Playwright особенно удобен из-за встроенного перехвата сети.

https://habr.com/ru/articles/1050904/

#Playwright #автоматизация_тестирования #e2e #тестирование_поиска #QA #фильтры #debounce #XSS #чеклист #endtoend