PT-2022-7287 · Ruby-Git+3 · Ruby-Git+3

Yuki Kokubun

·

Publicado

2022-01-05

·

Atualizado

2025-12-15

·

CVE-2022-47318

CVSS v2.0

9.0

Alta

VetorAV:N/AC:L/Au:S/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do ruby-git anteriores à v1.13.0
Descrição
O problema está relacionado a um gerenciamento incorreto da geração de código na biblioteca Ruby/Git, permitindo que um invasor remoto autenticado execute código Ruby arbitrário. Isso pode ocorrer quando um usuário carrega no produto um repositório contendo um nome de arquivo especialmente criado.
Recomendações
Para versões anteriores à v1.13.0, atualize para a versão v1.13.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a repositórios que possam conter nomes de arquivos especialmente criados até que a atualização seja aplicada.

Correção

RCE

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94

Identificadores relacionados

ALT-PU-2023-2040
ALT-PU-2023-4279
ALT-PU-2024-7826
BDU:2024-02286
CVE-2022-47318
DLA-3303-1
DLA-4406-1
GHSA-PPHF-GFRM-V32R
MGASA-2023-0097
RHSA-2023:5931
RHSA-2023:5979
RHSA-2023:5980
RHSA-2023:6818
RLSA-2023:6818

Produtos afetados

Alt Linux
Debian
Rocky Linux
Ruby-Git