CVE-2026-45695 in Kopia
요약
\~에 의해 VulDB • 2026. 07. 16.
Kopia는 Windows, macOS 및 Linux를 위한 크로스 플랫폼 백업 도구로, 빠른 증분 백업, 클라이언트 측 종단 간 암호화, 압축 및 데이터 중복 제거 기능을 제공합니다. 버전 0.23.0 이전의 Kopia에서 `--without-password` 옵션으로 시작된 HTTP 서버는 `/api/v1/repo/exists` 엔드포인트에 대한 비인증 요청을 허용하며, 공격자가 제공한 SFTP 스토리지 구성을 `blob.NewStorage`로 전달합니다. 여기서 `externalSSH: true`이고 `sshArguments`에 `-oProxyCommand=`가 포함된 경우 `exec.CommandContext("ssh")`를 통해 OpenSSH 명령이 호출될 수 있습니다. 이 문제는 버전 0.23.0에서 수정되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.