PT-2020-16878 · Github · Git+1
Dawid Golunski
·
Publicado
2020-11-05
·
Atualizado
2024-03-06
·
CVE-2020-27955
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Git LFS versão 2.12.0
Versões do Git anteriores à 2.29.2
Descrição
A vulnerabilidade permite a execução remota de código (RCE) em sistemas Windows quando o Git LFS opera em um repositório malicioso com um arquivo
git.bat ou git.exe no diretório atual. Isso ocorre porque, no Windows, o Go inclui (e prefere) o diretório atual quando o nome de um comando executado não contém um separador de diretório. O problema não afeta sistemas Unix.Recomendações
Para a versão 2.12.0 do Git LFS, atualize para a versão 2.12.1 ou posterior.
Para versões do Git anteriores à 2.29.2, atualize para a versão 2.29.2 ou posterior.
Como solução temporária, considere evitar repositórios não confiáveis até que um patch esteja disponível.
Exploit
Correção
Code Injection
Uncontrolled Search Path Element
Untrusted Search Path
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Git
Git Lfs