CVE-2026-47191

Nome do Software Vulnerável e Versões Afetadas kas versões anteriores a 5.3

Description Usuários que dependem exclusivamente de um ID de commit do git (SHA-1 ou SHA-256) para verificar se a extração de um repositório corresponde a um estado validado em uma configuração do kas podem ser enganados a extrair um branch com o mesmo nome. Isso ocorre se um invasor assumir o controle do repositório referenciado e modificá-lo para incluir tal branch. Embora os commits SHA-1 sejam suscetíveis a colisões de hash, este problema impacta principalmente os IDs de commit SHA-256.

Recommendations Atualize para a versão 5.3. Evite confiar exclusivamente no ID do commit para a validação de integridade de repositórios que possam ser controlados por terceiros mal-intencionados. Valide commits ou tags assinados criptograficamente, se disponíveis. Espelhe o repositório em um local seguro, valide sua integridade e use o espelho em vez do repositório original.