PT-2020-7273 · Unknown · Git-Extras
Helmut Grohne
·
Publicado
2020-01-28
·
Atualizado
2020-02-07
·
CVE-2012-6114
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N |
**Nome do software vulnerável e versões afetadas:
git-extras versão 1.7.0
Descrição:
A vulnerabilidade permite que usuários locais sobrescrevam arquivos arbitrários por meio de um ataque de link simbólico em (1) /tmp/changelog ou (2) /tmp/.git-effort. Isso está relacionado ao utilitário git-changelog do git-extras.
Recomendações:
Para o git-extras versão 1.7.0, considere restringir o acesso ao utilitário git-changelog até que um patch esteja disponível e evite usar os arquivos /tmp/changelog e /tmp/.git-effort de forma que possam ser explorados por um ataque de link simbólico. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Link Following
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Git-Extras