Múltiples Vulnerabilidades Críticas en Pagure Permiten la Ejecución Remota de Código
Investigadores de seguridad descubrieron múltiples vulnerabilidades críticas en Pagure, la forge de software utilizada por Fedora, que permitían la ejecución remota de código (RCE). Una vulnerabilidad se debía a una inyección de argumento en la función PagureRepo.log(), permitiendo a los atacantes escribir en archivos arbitrarios y ejecutar código arbitrario. Otras fallas incluían la travesía de directorios y el manejo inadecuado de enlaces simbólicos. Estas vulnerabilidades podían explotarse para modificar los archivos de especificación de paquetes de Fedora, introduciendo potencialmente código malicioso. Los atacantes incluso podrían obtener control total del servidor Pagure sobrescribiendo el archivo `/srv/git/.bashrc`. Fedora ha migrado a Forgejo para solucionar este problema, pero las vulnerabilidades destacan problemas críticos en la seguridad de la cadena de suministro de software de código abierto.