Sourcegraph — это поисковая система кода и навигации. Sourcegraph до версии 3.37 уязвим для удаленного выполнения кода в службе gitserver. Служба действует как git exec proxy и не может должным образом ограничить вызов git config. Это позволяет злоумышленнику установить параметр git core.sshCommand, который указывает git использовать указанную команду вместо ssh, когда им необходимо подключиться к удаленной системе. Эксплуатация этой уязвимости зависит от способа развертывания Sourcegraph. Злоумышленник, способный отправлять HTTP-запросы к внутренним службам, таким как gitserver, может ее использовать. Эта проблема исправлена в Sourcegraph версии 3.37. В качестве обходного пути убедитесь, что запросы к gitserver должным образом защищены.