PT-2022-7372 · Gitpython+5 · Gitpython+5

Sam Wheating

·

Publicado

2022-12-06

·

Atualizado

2025-03-06

·

CVE-2022-24439

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do gitpython (versões afetadas não especificadas)
Descrição
O problema está relacionado à validação inadequada de entradas do usuário na biblioteca gitpython, o que permite a execução remota de código (RCE) devido à sanitização insuficiente dos argumentos de entrada ao realizar chamadas externas ao git. Isso permite que um invasor injete uma URL remota criada de forma maliciosa no comando clone. A vulnerabilidade é explorada devido à falha da biblioteca em limpar adequadamente os argumentos de entrada antes de passá-los para o git.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

RCE

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94CWE-20

Identificadores relacionados

ALT-PU-2023-8415
BDU:2024-04480
CVE-2022-24439
DLA-3502-1
DLA-3939-1
GHSA-HCPJ-QP55-GFPH
MGASA-2023-0001
OESA-2023-1529
OPENSUSE-SU-2024:12596-1
OPENSUSE-SU-2024:13510-1
OPENSUSE-SU-2025:14858-1
PYSEC-2022-42992
RHSA-2023:5931
USN-5968-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Red Os
Ubuntu
Gitpython