PT-2024-1236 · Pypi+1 · Gitpython+1
Eliahkagan
·
Publicado
2024-01-10
·
Atualizado
2026-06-03
·
CVE-2024-22190
CVSS v4.0
8.6
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do GitPython anteriores à 3.1.41
Descrição
O problema está relacionado ao uso de um caminho de pesquisa não confiável no GitPython, uma biblioteca Python para interagir com repositórios Git. Isso poderia permitir que um invasor executasse código arbitrário com privilégios elevados usando um arquivo binário especialmente criado. No Windows, a vulnerabilidade ocorre quando o GitPython usa um shell para executar
git ou quando executa bash.exe para interpretar hooks, podendo levar à execução de um git.exe ou bash.exe malicioso proveniente de um repositório não confiável.Recomendações
Para versões anteriores à 3.1.41, atualize para a versão 3.1.41 para resolver o problema.
Como solução alternativa temporária, considere evitar o uso de shells para executar
git ou interpretar hooks com bash.exe no Windows até que a atualização seja aplicada.Exploit
Correção
Untrusted Search Path
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Gitpython