Ένα κρίσιμο ελάττωμα ασφαλείας ανακαλύφθηκε σε μια δημοφιλή ανοιχτού κώδικα, αυτο-φιλοξενούμενη υπηρεσία Git, η οποία επιτρέπει στους εισβολείς να αντικαθιστούν κρυφά αντικείμενα του Large File Storage (LFS).
Παρακολούθηση ως CVE-2026-25921, αυτή η ευπάθεια μέγιστης σοβαρότητας φέρει βαθμολογία CVSS 3.1 10,0. Δημιουργεί σοβαρό κίνδυνο για επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού.
Το ελάττωμα επηρεάζει επί του παρόντος τις εκδόσεις Gogs 0.14.1 και προγενέστερες, χωρίς επίσημη ενημέρωση κώδικα τη στιγμή της αποκάλυψης.
Εάν γίνουν αντικείμενο εκμετάλλευσης, οι κακόβουλοι παράγοντες θα μπορούσαν να παραβιάσουν κρίσιμα δυαδικά αρχεία, σύνολα δεδομένων ή εκδόσεις λογισμικού σε οποιοδήποτε χώρο αποθήκευσης σε κοινόχρηστο διακομιστή χωρίς να ενεργοποιήσουν ούτε μία προειδοποίηση.
Gogs Overwrite Τρωτό
Η βασική αιτία αυτής της ευπάθειας πηγάζει από δύο κρίσιμα ελαττώματα σχεδιασμού στον τρόπο με τον οποίο η Gogs χειρίζεται την αρχιτεκτονική του Large File Storage:
Έλλειψη απομόνωσης αποθήκευσης: Το Gogs αποθηκεύει όλα τα μεταφορτωμένα αντικείμενα LFS σε μια ενιαία κοινόχρηστη τοποθεσία χωρίς να τα απομονώνει μέσω αποθετηρίου.
Επειδή η διαδρομή αποθήκευσης δεν περιλαμβάνει ένα μοναδικό αναγνωριστικό αποθετηρίου, κάθε έργο που φιλοξενείται στην παρουσία του Gogs μοιράζεται την ίδια κεντρική ομάδα αρχείων.
Λείπει η επαλήθευση κατακερματισμού: Όταν ένας χρήστης ανεβάζει ένα αρχείο LFS, το Gogs αποτυγχάνει τελείως να επαληθεύσει αν το πραγματικό περιεχόμενο του αρχείου ταιριάζει με το υποκείμενο κρυπτογραφικό κατακερματισμό SHA-256 (γνωστό και ως OID).
Λόγω αυτών των ελέγχων ασφαλείας που λείπουν, ένας εισβολέας χρειάζεται μόνο να γνωρίζει τον κατακερματισμό SHA-256 ενός αρχείου στόχου LFS.
Στη συνέχεια, ο εισβολέας μπορεί να ανεβάσει ένα αρχείο που έχει υποστεί χειραγώγηση, όπως ένα πρόγραμμα εγκατάστασης λογισμικού με κερκόπορτα, στο δικό του χώρο αποθήκευσης ενώ διεκδικεί τον κατακερματισμό του αρχείου του θύματος.
Ο διακομιστής Gogs υποθέτει ότι η μεταφόρτωση είναι μια επανάληψη ρουτίνας προγράμματος-πελάτη και χωρίς σκέψη αντικαθιστά το αρχικό, νόμιμο αρχείο στην κοινόχρηστη βάση δεδομένων αποθήκευσης.
Ο αντίκτυπος του CVE-2026-25921 είναι καταστροφικός επειδή απαιτεί χαμηλή πολυπλοκότητα επίθεσης, χωρίς ειδικά προνόμια και μηδενική αλληλεπίδραση με τον χρήστη.
Συμβιβασμός εφοδιαστικής αλυσίδας: Όταν νόμιμοι προγραμματιστές ή αυτοματοποιημένα συστήματα πραγματοποιούν λήψη αντικειμένων LFS από τον επηρεαζόμενο διακομιστή, θα λάβουν εν αγνοία τους το κερκόπορτο αρχείο του εισβολέα.
Μη ανιχνεύσιμη παραβίαση: Επειδή το σύστημα εμπιστεύεται σιωπηρά το αρχείο χειραγώγησης του εισβολέα χωρίς επικύρωση αυθεντικότητας δεδομένων (CWE-345), η αντικατάσταση γίνεται εντελώς αθόρυβα.
Τα θύματα που πραγματοποιούν λήψη του αντικειμένου LFS από την ιστοσελίδα του Gogs δεν θα βλέπουν προειδοποιήσεις, σφάλματα ή ειδοποιήσεις ότι το αρχείο έχει τροποποιηθεί. Η ευπάθεια ανακαλύφθηκε και αναφέρθηκε από τον ερευνητή ασφαλείας zjuchenyuan.
Επειδή δεν υπάρχει ακόμη επίσημα επιδιορθωμένη έκδοση, οι οργανισμοί που βασίζονται σε αυτο-φιλοξενούμενες παρουσίες Gogs πρέπει να είναι ιδιαίτερα προσεκτικοί.
Οι διαχειριστές θα πρέπει να λάβουν υπόψη τα ακόλουθα προσωρινά μέτρα ασφαλείας έως ότου δημοσιευτεί μια επίσημη επιδιόρθωση:
Περιορισμός δικαιωμάτων: Περιορίστε αυστηρά τη δημιουργία λογαριασμών και τις άδειες μεταφόρτωσης LFS σε εσωτερικούς χρήστες υψηλής εμπιστοσύνης για να αποτρέψετε την αντικατάσταση αρχείων από μη εξουσιοδοτημένους φορείς.
Χειροκίνητοι έλεγχοι ακεραιότητας: Εφαρμόστε σενάρια εξωτερικής παρακολούθησης για να επαληθεύετε περιοδικά ότι οι πραγματικοί κατακερματισμοί SHA-256 κρίσιμων αρχείων LFS στον κεντρικό δίσκο ταιριάζουν με τις αναμενόμενες τιμές τους στη βάση δεδομένων.
Η ενδεχόμενη επιδιόρθωση προγραμματιστή θα απαιτήσει από τον Gogs να επαληθεύσει αυστηρά ότι όλα τα μεταφορτωμένα αντικείμενα LFS ταιριάζουν μαθηματικά με το διεκδικούμενο κατακερματισμό SHA-256 πριν τα γράψει στο δίσκο διακομιστή.
