Pagureにおける複数の重大な脆弱性によりリモートコード実行が可能に
2025-03-23
セキュリティ研究者は、Fedoraが使用しているソフトウェアフォージであるPagureにおいて、複数の重大な脆弱性を発見しました。これにより、リモートコード実行(RCE)が可能になります。1つの脆弱性は、PagureRepo.log()関数における引数インジェクションに起因し、攻撃者は任意のファイルに書き込み、任意のコードを実行できます。その他の脆弱性には、パス・トラバーサルやシンボリックリンクの不適切な処理が含まれていました。これらの脆弱性は、Fedoraパッケージの仕様ファイルを改ざんし、悪意のあるコードを導入するために悪用される可能性があります。攻撃者は、`/srv/git/.bashrc`ファイルを上書きして、Pagureサーバーの完全な制御を得ることもできます。Fedoraはこの問題に対処するためにForgejoに移行しましたが、これらの脆弱性はオープンソースソフトウェアのサプライチェーンセキュリティにおける重要な問題点を浮き彫りにしています。
開発