CVE-2026-11745
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 - wyżej niż 4% wszystkich znanych CVE
Streszczenie
Zidentyfikowano podatność w centraldogma-server-mirror-git w wersjach przed 0.84.0, gdzie klient SSH do mirroringu Git nie weryfikuje kluczy zdalnych hostów dla połączeń git+ssh://. To umożliwia atakującemu na ścieżce przeprowadzenie ataków typu man-in-the-middle oraz kompromitację zmirrorowanych repozytoriów.
Ocena ryzyka
Organizacja narażona jest na ataki typu man-in-the-middle, co może prowadzić do kompromitacji danych w zmirrorowanych repozytoriach oraz utraty zaufania do systemu.
Rekomendacja
Zaleca się aktualizację centraldogma-server-mirror-git do wersji 0.84.0 lub nowszej, aby zapewnić weryfikację kluczy zdalnych hostów.
Oryginalny opis (angielski, źródło NVD)
A vulnerability has been identified in centraldogma-server-mirror-git versions prior to 0.84.0, where the Git mirror SSH client does not verify remote host keys for git+ssh:// connections, allowing an on-path attacker to perform man-in-the-middle attacks and compromise mirrored repositories.

