PT-2022-13891 · Git+1 · Git+1
Publicado
2022-04-22
·
Atualizado
2022-05-04
·
CVE-2022-1440
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
git-interface, versões 2.1.1 a 2.1.1
Descrição
Existe uma vulnerabilidade de injeção de comando no git-interface. Se tanto o git remote quanto o diretório de destino forem fornecidos por entrada do usuário, o uso do recurso de argumento de linha de comando
--upload-pack do git também é suportado para git clone, permitindo que qualquer comando do sistema operacional seja executado pelo invasor.Recomendações
Para a versão 2.1.1 do git-interface, atualize para a versão 2.1.2 para resolver o problema.
Como solução alternativa temporária, considere restringir o uso do recurso de argumento de linha de comando
--upload-pack do git para git clone até que um patch esteja disponível.Exploit
Correção
Argument Injection
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Git
Git-Interface