Pubblicato un nuovo aggiornamento per RomM (ROM Manager), il gestore di ROM self-hosted capace di organizzare, arricchire e riprodurre giochi per emulatori in modo centralizzato.

La nuova versione corregge due falle ad alta gravità (CVE-2025-65027 e CVE-2025-65097) e una a gravità moderata (CVE-2025-65096), che permettevano a un utente registrato di ottenere privilegi amministrativi completi, creare nuovi account admin o elevare i propri privilegi tramite link appositamente costruiti.

Tutte le versioni precedenti sono vulnerabili, perciò è fortemente raccomandato aggiornare subito le istanze server. Come precauzione, durante il primo accesso, la modifica di un gioco o una scansione, gli utenti potrebbero essere temporaneamente disconnessi per rigenerare le sessioni e i cookie CSRF.

Le istanze private o a singolo utente non sono a rischio, mentre i link sospetti inviati da altri utenti devono essere trattati con cautela. Ulteriori dettagli sulle vulnerabilità saranno pubblicati dopo 14 giorni per dare tempo agli amministratori di aggiornare.

Oltre alle correzioni di sicurezza, la release introduce anche miglioramenti e novità minori. Tra questi il supporto a FPKGi per PS4/PS5, l’utilizzo dell’hash SHA1 interno per file CHD v5, nuove traduzioni in francese, ceco e aggiornamenti per i dialog di gestione ROM.

Sono stati risolti problemi relativi all’importazione di media, al caricamento manuale di manuali, alla gestione dei feed, agli URL di download e alla gestione dei token CSRF, oltre a miglioramenti generali di stabilità e sicurezza del codice, aggiornamenti delle dipendenze e ottimizzazioni del frontend.

Caratteristiche

• Scansiona e arricchisci la tua libreria di giochi con metadati da IGDB, Screenscraper e MobyGames.
• Recupera artwork personalizzati da SteamGridDB.
• Mostra i tuoi achievement da Retroachievements.
• Metadati disponibili per oltre 400 piattaforme.
• Gioca direttamente dal browser usando EmulatorJS e RuffleRS.
• Condividi la tua libreria con gli amici con accesso e permessi limitati.
• App ufficiali per Playnite e muOS.
• Supporta giochi multi-disco, DLC, mod, hack, patch e manuali.
• Analizza e filtra tramite tag nei nomi dei file.
• Visualizza, carica, aggiorna ed elimina giochi da qualsiasi browser moderno.

L’installazione di RomM è resa accessibile soprattutto tramite Docker, con una configurazione guidata che include la gestione dei database MariaDB, le chiavi API per il recupero dei metadati e la strutturazione delle cartelle delle ROM.

Per gli utenti meno esperti, l’interfaccia web permette il caricamento drag-and-drop e la scansione automatica dei file. La comunità gioca anche un ruolo fondamentale, con oltre 3.600 membri attivi su Discord che contribuiscono con progetti complementari come bot, client Electron e app Android.

RomM si inserisce inoltre in un ecosistema più ampio di strumenti per il retrogaming, con integrazioni interessanti come Steam ROM Manager, RetroDECK e altri gestori compatibili con diverse piattaforme, permettendo una gestione unificata dei giochi moderni e retrò.

Grazie alla combinazione di organizzazione avanzata, arricchimento dei metadati, riproduzione browser-based e supporto comunitario, RomM rappresenta oggi una soluzione completa e indispensabile per chi desidera vivere e condividere la propria passione per il retrogaming con un alto grado di personalizzazione e controllo.

Changelog

Questa release corregge due vulnerabilità ad alta gravità (CVE-2025-65027 e CVE-2025-65097) e una a gravità moderata (CVE-2025-65096). Un attaccante con un account esistente può, tramite link appositamente costruito, ottenere il pieno controllo amministrativo, creare un nuovo account admin o elevare i propri privilegi. Tutte le versioni precedenti sono vulnerabili e i proprietari dei server devono aggiornare al più presto.

Come precauzione, gli utenti potrebbero essere disconnessi durante il primo accesso all’app, la modifica di un gioco o l’esecuzione di una scansione, per rigenerare sessioni e cookie CSRF. Questo accade solo una volta.

Le istanze private o a singolo utente non sono a rischio. I link ricevuti dagli utenti devono essere trattati come sospetti. Ulteriori dettagli saranno pubblicati tra 14 giorni per dare tempo agli amministratori di aggiornare.

Modifiche minori

• [ROMM-2650] Aggiunto supporto FPKGi per PS4/PS5.
• Usa hash SHA1 interno se il file CHD è v5.
• Aggiunte traduzioni in francese per la pagina Metadata Sources.
• Aggiunte traduzioni per i dialog di gestione ROM.
• Aggiunta localizzazione ceca.

Correzioni

• Rimosso ge su tinfoil releaseDate e corretto tramite field_validator.
• [ROMM-2628] Corretto deserializzazione job func_name.
• [HOTFIX] Corretto importazione media da gamelist.xml.
• [ROMM-2639][ROMM-2627] Interrotte scansioni durante la migrazione.
• [ROMM-2645] Avvolti elementi nei feed tra doppi apici.
• [ROMM-2648] Codificati nomi file degli URL di download negli endpoint dei feed.
• [ROMM-2654] Corretto caricamento manuale di manuali.
• [HOTFIX] Impostati tutti i v-avatar su testo per rimuovere colore di sfondo piatto.
• [ROMM-2657] Accesso sicuro alle variabili d’ambiente con valori di default.
• [HOTFIX] _mask_sensitive_values ora controlla valori null.
• [ROMM-2669] Reset di url_cover e url_manual al valore ROM se non modificati.
• [HOTFIX] Corretto match Flashpoint per UUID.
• [ROMM-2679] Stop forzatura a stringa di url_manual.
• Correzione stringhe multipart.
• Corretto errore CSRF al primo signup admin.

Altre modifiche

• Aggiornate dipendenze: fastapi, starlette e fastapi-pagination.
• Corretto livello di indentazione della lista “media” in config.example.yml.
• Aggiornato js-yaml da 4.1.0 a 4.1.1 nel frontend.
• Aggiunta GitHub Action per aggiornare l’URL dell’API HLTB.
• Implementato middleware CSRF direttamente nel repository.

Download: Source code RomM v4.4.1

Fonte: github.com