Soft Serve — это самостоятельный сервер Git для командной строки. До версии 0.8.2 атака с обходом пути позволяла существующим пользователям, не являющимся администраторами, получать доступ к репозиториям других пользователей и захватывать их. Затем злонамеренный пользователь может изменять, удалять и произвольно изменять репозитории, как если бы он был пользователем с правами администратора, без явного предоставления им разрешений.
Это исправлено в версии 0.8.2.
Показать оригинальное описание (EN)
Soft Serve is a self-hostable Git server for the command line. Prior to 0.8.2 , a path traversal attack allows existing non-admin users to access and take over other user's repositories. A malicious user then can modify, delete, and arbitrarily repositories as if they were an admin user without explicitly giving them permissions. This is patched in v0.8.2.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Charm Soft_Serve
cpe:2.3:a:charm:soft_serve:*:*:*:*:*:go:*:*
|
— |
0.8.2
|