Execução Remota de Código Crítica e Não Autenticada no Kopia Backup via Injeção de ProxyCommand SSH

28 de maio de 2026

Resumo

A Orca Security revelou a CVE-2026-45695 (CVSS 9.8), uma falha de execução remota de código (RCE) não autenticada na ferramenta de backup open-source Kopia. O problema ocorre porque o endpoint /api/v1/repo/exists passa campos de configuração de armazenamento SFTP diretamente para a linha de comando SSH sem tokenização ou tratamento de aspas, permitindo que um atacante injete tokens -oProxyCommand= em uma única requisição HTTP, forçando o OpenSSH a executar comandos arbitrários de shell.

Este bug afeta servidores Kopia HTTP nas versões 0.22.3 e anteriores quando operam com a opção --without-password e estão vinculados a interfaces não-loopback com um backend SFTP external-SSH. Apesar de a divulgação responsável ter sido feita por Daniele Berardinelli e não haver um proof-of-concept público ainda, o ataque de requisição única torna a exploração trivial, com riscos de exfiltração completa de dados de backup e pivoteamento de infraestrutura. Administradores devem atualizar imediatamente para a versão 0.23.0 ou posterior, ou configurar o Kopia para se ligar apenas ao localhost e colocar quaisquer instâncias acessíveis externamente por trás de um proxy reverso com autenticação.

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 28 de maio de 2026
Fonte: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?