CRITICAL🇬🇧 English

CVE-2024-47516

Argument injection w Pagure umożliwiający zdalne wykonanie kodu (RCE)

CVSS 9.8v3.1pub. 2025-03-26upd. 2026-04-15

W aplikacji Pagure wykryto krytyczną podatność typu argument injection w operacjach Git, prowadzącą do zdalnego wykonania kodu (RCE) na serwerze. Podatność nie wymaga uwierzytelnienia ani interakcji użytkownika, co czyni ją szczególnie niebezpieczną.

Pokaż oryginał (EN)

A vulnerability was found in Pagure. An argument injection in Git during retrieval of the repository history leads to remote code execution on the Pagure instance.

🤖 Analiza AI
Jak działa

Podatność (CWE-88 — argument injection) występuje podczas pobierania historii repozytorium przy użyciu Git. Atakujący może wstrzyknąć złośliwe argumenty do wywołania polecenia Git, które są następnie interpretowane przez system jako dodatkowe opcje lub flagi. Prowadzi to do wykonania niezamierzonego kodu na instancji Pagure bez konieczności posiadania uprawnień ani interakcji ze strony ofiary.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem — zagrożone jest poufność, integralność i dostępność danych (ocena C:H/I:H/A:H w CVSS). Możliwe jest przejęcie instancji Pagure, odczyt lub modyfikacja repozytoriów oraz danych użytkowników.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach naprawczych dostępne pod adresem https://bugzilla.redhat.com/show_bug.cgi?id=2315805 oraz https://access.redhat.com/security/cve/CVE-2024-47516.

Kogo dotyczy

Aplikacja Pagure — wersje wskazane w referencjach producenta (Red Hat Bugzilla #2315805).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje
CVE-2024-47516 — Argument injection w Pagure umożliwiający zdalne wykonanie kodu (RCE) — CRITICAL 9.8 | CVEbaza.pl