GOGS Güvenlik Açığı, Saldırganların Büyük Dosya Depolama Nesnelerinin Üzerine Sessizce Yazmasını Sağlar

Popüler bir açık kaynaklı, kendi kendine barındırılan Git hizmetinde, saldırganların Büyük Dosya Depolama (LFS) nesnelerinin üzerine gizlice yazmasına izin veren kritik bir güvenlik açığı keşfedildi. CVE -2026 -25921 olarak izlenen bu maksimum şiddet güvenlik açığı, CVSS 3.1 puanını 10.0 olarak taşır. Yazılım tedarik zinciri saldırıları için ciddi bir risk oluşturur. Kusur şu anda GOGS'un 0.14.1 ve önceki sürümlerini etkiliyor ve açıklama sırasında resmi bir yama mevcut değil.  Kötüye kullanılırsa, kötü niyetli aktörler tek bir uyarıyı tetiklemeden paylaşılan bir sunucudaki herhangi bir veri havuzunda kritik ikili dosyaları, veri kümelerini veya yazılım yapılarını kurcalayabilir. GOGS Üzerine Yazma Kırılganlığı

Bu güvenlik açığının temel nedeni, GOGS'un Büyük Dosya Depolama mimarisini nasıl ele aldığına dair iki kritik tasarım kusurundan kaynaklanmaktadır:

Depolama İzolasyonu Eksikliği: GOGS, yüklenen tüm LFS nesnelerini depoya göre izole etmeden tek bir paylaşılan konumda depolar. Depolama yolu benzersiz bir depo kimliği içermediğinden, GOGS örneğinde barındırılan her proje aynı merkezi dosya havuzunu paylaşır. Eksik Karma Doğrulaması: Bir kullanıcı bir LFS dosyası yüklediğinde, GOGS, dosyanın gerçek içeriğinin iddia edilen SHA -256 şifreleme karmasıyla (OID olarak da bilinir) eşleşip eşleşmediğini doğrulayamaz. Bu eksik güvenlik kontrolleri nedeniyle, bir saldırganın yalnızca bir hedef LFS dosyasının SHA -256 karmasını bilmesi gerekir. Saldırgan daha sonra, kurbanın dosya karmasını talep ederken, arka kapı yazılım yükleyicisi gibi manipüle edilmiş bir dosyayı kendi havuzuna yükleyebilir. GOGS sunucusu, yüklemenin rutin bir istemci yeniden denemesi olduğunu varsayar ve paylaşılan depolama veritabanındaki orijinal, meşru dosyanın üzerine düşünmeden yazar. CVE -2026 -25921 'in etkisi yıkıcıdır çünkü düşük saldırı karmaşıklığı, özel ayrıcalıklar ve sıfır kullanıcı etkileşimi gerektirir.