CVE-2026-48827
HighCVSS 7.1Summary
W Apache MINA SSHD w pakiecie sshd-git występuje podatność na przejście ścieżki. Brak walidacji ścieżki w operacjach git-upload-pack, git-receive-pack oraz innych operacjach git pozwala użytkownikom uwierzytelnionym przez SSH na dostęp do repozytoriów git poza skonfigurowanym katalogiem głównym serwera git.
Risk Assessment
Organizacje mogą być narażone na nieautoryzowany dostęp do wrażliwych repozytoriów git, co może prowadzić do wycieku danych lub modyfikacji kodu źródłowego. W przypadku wykorzystania podatnych aplikacji, ryzyko to jest szczególnie wysokie.
Recommendation
Zaleca się aktualizację podatnych aplikacji do wersji Apache MINA SSHD 2.18.0 lub 3.0.0-M4, aby usunąć tę podatność. Dodatkowo, profesjonalny serwer git powinien wdrożyć dodatkowe kontrole bezpieczeństwa, aby zarządzać dostępem do repozytoriów git.
Original NVD description (English source)
Path traversal vulnerability in Apache MINA SSHD bundle sshd-git. Lack of path validation in git-upload-pack, git-receive-pack, and other git operations allows users authenticated over SSH access to git repositories outside the configured git server root directory. Applications are affected if they use org.apache.sshd:sshd-git. Applications not using sshd-git are not affected. Users are advised to upgrade affected applications to Apche MINA SSHD 2.18.0, which fixes the issue. The issue also is present in the pre-release milestones 3.0.0-M1 to 3.0.0-M3 for a new upcoming new major version 3.0.0. Again, applications are affected only if they use sshd-git. Upgrade affected applications to 3.0.0-M4. We would like to point out that a professional git server should not rely solely on file system layout and permissions, but should implement additional security controls to govern access to git repositories and operations allowed on particular git repositories.

