Vulnerabilidad en Onedev (CVE-2022-39205)

Onedev es un servidor Git de código abierto, auto-alojado con CI/CD y Kanban. En versiones de Onedev anteriores a 7.3.0, los usuarios no autenticados pueden tomar el control de una instancia de OneDev si no se presenta un proxy inverso configurado apropiadamente. El endpoint /git-prereceive-callback es usado por el hook git pre-receive en el servidor para comprobar las protecciones de las ramas durante un evento push. Sólo puede accederse a él desde localhost, pero la comprobación es basada en la cabecera X-Forwarded-For. La invocación de este endpoint conlleva a una ejecución de uno de varios comandos de git. Las variables de entorno de la ejecución de este comando pueden ser controladas por medio de parámetros de consulta. Esto permite a atacantes escribir en archivos arbitrarios, lo que a su vez puede conllevar a una ejecución de código arbitrario. Un ataque de este tipo sería muy difícil de detectar, lo que aumenta aún más el impacto potencial. Es recomendado a usuarios actualizar. No se presentan mitigaciones conocidas para este problema