漏洞概述 CVE编号: CVE-2026-48827 漏洞名称: Apache MINA SSHD: Path traversal in org.apache.sshd:sshd-git 严重程度: 中等 描述: Apache MINA SSHD 中的 sshd-git 存在路径遍历漏洞。在 git-upload-pack、git-receive-pack 和其他 git 操作中缺乏路径验证,允许通过 SSH 访问存储库的用户访问配置 git 服务器根目录之外的存储库。 影响范围 受影响版本: - Apache MINA SSHD (org.apache.sshd:sshd-git) 2.0.0 至 2.17.1 - Apache MINA SSHD (org.apache.sshd:sshd-git) 3.0.0-M1 至 3.0.0-M3 受影响应用: 使用 org.apache.sshd:sshd-git 的应用程序。未使用 sshd-git 的应用程序不受影响。 修复方案 建议升级: 将受影响的应用程序升级到 Apache MINA SSHD 2.18.0,该版本修复了此问题。 预发布版本: 该问题也存在于即将发布的新主要版本 3.0.0 的预发布里程碑 3.0.0-M1 至 3.0.0-M3 中。同样,只有使用 sshd-git 的应用程序受影响。建议将受影响的应用程序升级到 3.0.0-M4。 其他信息 建议: 专业 git 服务器不应仅依赖文件系统布局和权限,而应实施额外的安全控制措施,以管理对 git 存储库的访问和允许的操作。 发现者: @hndo (idohyun4466@gmail.com) 参考链接: - https://mina.apache.org/ - https://www.cve.org/CVERecord?id=CVE-2026-48827