Múltiplas Vulnerabilidades Críticas no Pagure Levam à Execução Remota de Código
Pesquisadores de segurança descobriram múltiplas vulnerabilidades críticas no Pagure, a forge de software usada pelo Fedora, permitindo a execução remota de código (RCE). Uma vulnerabilidade decorreu de uma injeção de argumento na função PagureRepo.log(), permitindo que atacantes escrevessem em arquivos arbitrários e executassem código arbitrário. Outras falhas incluíam travessia de diretório e tratamento inadequado de links simbólicos. Essas vulnerabilidades poderiam ser exploradas para modificar arquivos de especificação de pacotes Fedora, potencialmente introduzindo código malicioso. Atacantes poderiam até obter controle total do servidor Pagure, sobrescrevendo o arquivo `/srv/git/.bashrc`. O Fedora migrou para o Forgejo para solucionar esse problema, mas as vulnerabilidades destacam problemas críticos na segurança da cadeia de suprimentos de software de código aberto.