PT-2021-8149 · Git+5 · Git+5

Harold Kim

·

Publicado

2021-01-07

·

Atualizado

2023-07-05

·

CVE-2021-40330

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Git anteriores à 2.30.1
Descrição
O problema está relacionado à função git connect git no componente connect.c do sistema de controle de versão distribuído Git. Ela permite que um caminho de repositório contenha um caractere de nova linha, o que pode resultar em solicitações entre protocolos inesperadas. Isso é demonstrado pela subcadeia git://localhost:1234/%0d%0a%0d%0aGET%20/%20HTTP/1.1.
Recomendações
Para versões do Git anteriores à 2.30.1, atualize para a versão 2.30.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à função git connect git no componente connect.c até que um patch esteja disponível. Evite usar caminhos de repositório que contenham caracteres de nova linha no endpoint da API afetado até que o problema seja resolvido.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

ALT-PU-2021-2336
ALT-PU-2021-3280
ALT-PU-2023-4135
BDU:2024-09034
CVE-2021-40330
DLA-3145-1
OESA-2021-1345
OPENSUSE-SU-2021:1345-1
OPENSUSE-SU-2021:3300-1
OPENSUSE-SU-2021_1345-1
OPENSUSE-SU-2021_3300-1
SUSE-SU-2021:3300-1
SUSE-SU-2021:3484-1
SUSE-SU-2021_3300-1
SUSE-SU-2021_3484-1
USN-5076-1

Produtos afetados

Alt Linux
Astra Linux
Git
Linuxmint
Suse
Ubuntu