PT-2020-9128 · Unknown · Git-Diff-Apply

Publicado

2020-01-07

·

Atualizado

2020-02-14

·

CVE-2019-10776

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do git-diff-apply anteriores à 0.22.2
Descrição
O problema decorre da execução do comando git com uma variável controlada pelo usuário chamada remoteUrl no arquivo “index.js”. Isso permite uma possível exploração.
Recomendações
Para versões anteriores à 0.22.2, atualize para a versão 0.22.2 ou posterior para resolver o problema.

Exploit

Correção

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78

Identificadores relacionados

CVE-2019-10776
GHSA-84CM-V6JP-GJMR
SNYK-JS-GITDIFFAPPLY-540774
SNYK-JS-GITDIFFAPPLY-540774

Produtos afetados

Git-Diff-Apply