CRITICAL🇬🇧 English

CVE-2025-68937

Forgejo: zapis poza repozytorium przez symlinki w szablonach — możliwy RCE

CVSS 9.5v4.0pub. 2025-12-26upd. 2026-04-15

Forgejo przed wersją 13.0.2 nieprawidłowo obsługuje dowiązania symboliczne (symlinki) wskazujące poza repozytorium w szablonowych repozytoriach (template repositories). Luka jest krytyczna, ponieważ może umożliwić atakującemu zapis dowolnych plików na serwerze, a w konsekwencji uzyskanie dostępu do powłoki systemowej (shell access).

Pokaż oryginał (EN)

Forgejo before 13.0.2 allows attackers to write to unintended files, and possibly obtain server shell access, because of mishandling of out-of-repository symlink destinations for template repositories. This is also fixed for 11 LTS in 11.0.7 and later.

🤖 Analiza AI
Jak działa

Podatność wynika z błędnej obsługi dowiązań symbolicznych (CWE-61: UNIX Symbolic Link Following), których cel wskazuje na ścieżki znajdujące się poza katalogiem repozytorium. Gdy takie repozytorium jest używane jako szablon (template repository) do tworzenia nowych repozytoriów, Forgejo nie weryfikuje prawidłowo celów symlinków, co pozwala atakującemu na zapis plików w lokalizacjach spoza zamierzonego obszaru repozytorium na serwerze. Przy odpowiednio spreparowanym ataku może to prowadzić do umieszczenia złośliwych plików w krytycznych lokalizacjach systemu operacyjnego i uzyskania dostępu do powłoki serwera.

Skutki

Atakujący może zapisywać pliki w dowolnych lokalizacjach na serwerze (path traversal przez symlink), co w najgorszym przypadku prowadzi do uzyskania zdalnego dostępu do powłoki systemowej (server shell access) i pełnego przejęcia serwera.

Mitygacja

Należy zaktualizować Forgejo do wersji 13.0.2 lub nowszej. Dla gałęzi 11 LTS należy zastosować aktualizację do wersji 11.0.7 lub nowszej. Szczegółowe informacje dostępne są w notatkach wydania producenta pod adresami codeberg.org/forgejo/forgejo/src/branch/forgejo/release-notes-published/13.0.2.md oraz codeberg.org/forgejo/forgejo/src/branch/forgejo/release-notes-published/11.0.7.md

Kogo dotyczy

Forgejo przed wersją 13.0.2 oraz wersje gałęzi 11 LTS przed wersją 11.0.7

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2025-68937 — Forgejo: zapis poza repozytorium przez symlinki w szablonach — możliwy RCE — CRITICAL 9.5 | CVEbaza.pl