CVE-2026-12398

Nome do Software Vulnerável e Versões Afetadas galaxy ng (versões afetadas não especificadas)

Descrição Um problema de injeção de comando existe na API de importação de funções legadas (v1) dentro da função do git checkout(). O sistema interpola nomes de referência git não sanitizados, como nomes de branches ou tags, em comandos de shell executados via subprocess.run() com shell=True. Um usuário autenticado que controle um repositório git pode usar metacaracteres de shell em um nome de branch ou tag para alcançar a execução remota de código no pulp worker. Este problema só é acessível quando a variável GALAXY ENABLE LEGACY ROLES está definida como True.

Recomendações Como mitigação temporária, certifique-se de que GALAXY ENABLE LEGACY ROLES esteja definido como False para desativar a API de importação de funções legadas vulnerável. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.