PT-2020-16362 · Microsoft · Git Credential Manager
Vitor Fernandes
·
Publicado
2020-12-08
·
Atualizado
2021-02-18
·
CVE-2020-26233
CVSS v3.1
7.3
Alta
| Vetor | AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do Git Credential Manager Core anteriores à 2.0.289
Descrição
O problema ocorre ao clonar recursivamente um repositório Git no Windows com submódulos. Se um executável git.exe malicioso estiver presente no repositório de nível superior, ele será iniciado pelo Git Credential Manager Core ao tentar ler a configuração, em vez do git.exe encontrado no %PATH%. Isso afeta apenas o Git Credential Manager Core no Windows, não no macOS ou em distribuições baseadas em Linux.
Recomendações
Para versões anteriores à 2.0.289, atualize para a versão 2.0.289 ou posterior para resolver o problema. Como solução alternativa temporária, evite clonar recursivamente repositórios não confiáveis com a opção --recurse-submodules.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Git Credential Manager