Mehrere kritische Schwachstellen in Pagure ermöglichen Remote Code Execution
Sicherheitsforscher haben mehrere kritische Schwachstellen in Pagure, der von Fedora verwendeten Software-Forge, entdeckt, die Remote Code Execution (RCE) ermöglichen. Eine Schwachstelle rührte von einer Argumenten-Injection in der Funktion PagureRepo.log() her, die es Angreifern erlaubte, in beliebige Dateien zu schreiben und beliebigen Code auszuführen. Weitere Schwachstellen umfassten Path Traversal und die unsachgemäße Behandlung symbolischer Links. Diese Schwachstellen konnten ausgenutzt werden, um Fedora-Paket-Spezifikationsdateien zu modifizieren und möglicherweise bösartigen Code einzuführen. Angreifer könnten sogar die vollständige Kontrolle über den Pagure-Server erlangen, indem sie die Datei `/srv/git/.bashrc` überschreiben. Fedora ist zu Forgejo migriert, um dieses Problem zu beheben, aber die Schwachstellen heben kritische Probleme in der Sicherheit der Open-Source-Software-Lieferkette hervor.
Mehr lesen