W aplikacji Pagure wykryto krytyczną podatność typu argument injection w operacjach Git, prowadzącą do zdalnego wykonania kodu (RCE) na serwerze. Podatność nie wymaga uwierzytelnienia ani interakcji użytkownika, co czyni ją szczególnie niebezpieczną.
▸ Pokaż oryginał (EN)
A vulnerability was found in Pagure. An argument injection in Git during retrieval of the repository history leads to remote code execution on the Pagure instance.
Podatność (CWE-88 — argument injection) występuje podczas pobierania historii repozytorium przy użyciu Git. Atakujący może wstrzyknąć złośliwe argumenty do wywołania polecenia Git, które są następnie interpretowane przez system jako dodatkowe opcje lub flagi. Prowadzi to do wykonania niezamierzonego kodu na instancji Pagure bez konieczności posiadania uprawnień ani interakcji ze strony ofiary.
Atakujący może uzyskać pełną kontrolę nad serwerem — zagrożone jest poufność, integralność i dostępność danych (ocena C:H/I:H/A:H w CVSS). Możliwe jest przejęcie instancji Pagure, odczyt lub modyfikacja repozytoriów oraz danych użytkowników.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach naprawczych dostępne pod adresem https://bugzilla.redhat.com/show_bug.cgi?id=2315805 oraz https://access.redhat.com/security/cve/CVE-2024-47516.
Aplikacja Pagure — wersje wskazane w referencjach producenta (Red Hat Bugzilla #2315805).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H