Code Review

CVE-2026-44590: RCE via pull_request_target Injection > Supply Chain Compromise in Sherlock

Sherlock è uno di quei tool che chiunque si occupi di OSINT ha usato almeno una volta. Inserisci uno username e lui va a controllare se quell’identità esiste su oltre 400 social network e piattaforme di registrazione. È diretto, veloce, scritto in Python, e ha una community enorme: al momento in cui scrivo, il repository ufficiale conta circa 83.000 stelle su GitHub e centinaia di contributor. Per dare un’idea del raggio di blast in caso di compromissione, ho raccolto qualche metrica pubblica al momento di scrivere questo articolo: ...

CVE-2026-42281: Unauthenticated SSRF in MagicMirror²

Ho una collezione di Raspberry Pi che nel tempo ha acquisito una vita propria. Ogni modello ha il suo progetto, e periodicamente finisco su YouTube a cercare idee nuove. È così che ho conosciuto MagicMirror²: uno specchio smart open-source che usa Raspberry Pi per proiettare su un monitor retrospecchiato una serie di dashboard interattive, notizie, meteo, calendario, orari dei mezzi pubblici. L’output finale è esteticamente bello, e il progetto ha una community attiva di chi costruisce moduli personalizzati. ...

CVE-2026-41653: Stored XSS > File Exfiltration in BentoPDF

Una delle domande che mi pongo sempre quando faccio code review è: “qual è la vera superficie d’attacco di questa applicazione?”. Non in senso astratto (ogni applicazione ha superficie d’attacco), ma in senso concreto: se ottengo code execution qui, cosa raggiungo davvero? Quali dati circolano e dove vanno a finire? Ho trovato BentoPDF mentre lavoravo a un progetto personale. Stavo navigando su GitHub cercando strumenti open-source interessanti, mi ci sono imbattuto, e ho pensato: privacy-first, PDF processor completamente client-side, WebAssembly, zero backend. Architetturalmente insolito. Vale la pena approfondire. ...

CVE-2026-40487: Arbitrary File Upload > Stored XSS > Account Takeover in Postiz

Dopo l’OSWE ho iniziato ad apprezzare molto di più l’analisi white box. Quindi ogni tanto scelgo un progetto opensource che mi piace, analizzo il codice sorgente, cerco di capirne il funzionamento, e soffermandomi sulle funzioni più critiche mi chiedo: “e se qui non funzionasse come dovrebbe?”. Oggi vi racconto come ho scoperto questa Arbitrary File Upload tramite MIME-type spoofing che ha consentito una Stored XSS in Postiz, un tool open-source di social media management con più di 600 istanze esposte su internet, che permette all’attaccante di agire come la vittima: rubare API key, esfiltrare i token di tutte le integrazioni social collegate (Instagram, X, LinkedIn, Facebook, TikTok e gli altri 23 provider), pubblicare e cancellare post a nome suo, creare backdoor OAuth persistenti che sopravvivono al cambio password. ...