CVE-2026-45695 in Kopia
要約
〜によって VulDB • 2026年07月16日
Kopiaは、Windows、macOS、Linux向けのクロスプラットフォームなバックアップツールで、高速な増分バックアップ、クライアント側エンドツーエンド暗号化、圧縮、およびデータ重複排除機能を備えています。バージョン0.23.0より前では、--without-passwordオプション付きで起動したKopiaのHTTPサーバーは、/api/v1/repo/existsへの認証不要のリクエストを受け付け、攻撃者が指定したSFTPストレージ構成をblob.NewStorageに転送していました。ここでexternalSSH: trueかつsshArgumentsに-oProxyCommand=が含まれていると、exec.CommandContext("ssh")がOpenSSH経由でコマンドを実行する可能性があります。この問題はバージョン0.23.0で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.