PT-2022-26656 · Unknown · Powerline-Gitstatus
Jcharaoui
+1
·
Publicado
2022-10-13
·
Atualizado
2025-05-15
·
CVE-2022-42906
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do powerline-gitstatus anteriores à 1.3.2
Descrição
A vulnerabilidade permite a execução de código arbitrário. Repositórios Git podem conter configurações que alteram o comportamento do Git, incluindo a execução de comandos arbitrários. Ao usar o software afetado, mudar para um diretório executa automaticamente comandos Git para exibir informações do repositório no prompt. Um invasor pode explorar isso convencendo um usuário a mudar seu diretório para um controlado pelo invasor, como em um sistema de arquivos compartilhado ou arquivo extraído, permitindo que o invasor execute comandos arbitrários.
Recomendações
Para versões anteriores à 1.3.2, atualize para a versão 1.3.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso do powerline-gitstatus em diretórios não confiáveis para minimizar o risco de exploração. Evite usar o powerline-gitstatus em diretórios que possam ser controlados por um invasor até que o problema seja resolvido.
Exploit
Correção
Code Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Powerline-Gitstatus