PT-2024-13749 · Go-Git+4 · Go-Git+4
Bdilalu
+1
·
Publicado
2023-11-27
·
Atualizado
2026-03-12
·
CVE-2023-49569
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do go-git anteriores à v5.11
Descrição
Foi descoberta uma vulnerabilidade de traversal de caminho no go-git, permitindo que um invasor crie e altere arquivos em todo o sistema de arquivos. No pior dos casos, seria possível a execução remota de código. Os aplicativos só são afetados se estiverem usando o ChrootOS, que é o padrão ao usar versões “Plain” das funções Open e Clone. Aplicativos que usam o BoundOS ou sistemas de arquivos na memória não são afetados por este problema. Trata-se de um problema de implementação do go-git e não afeta o git cli upstream.
Recomendações
Para versões anteriores à v5.11, atualize para a v5.11 para mitigar essa vulnerabilidade.
Como solução temporária, considere limitar o uso do go-git apenas a servidores Git confiáveis.
Restrinja o acesso ao ChrootOS para minimizar o risco de exploração.
Evite usar as versões “Plain” das funções Open e Clone até que o problema seja resolvido.
Correção
RCE
DoS
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Linuxmint
Red Os
Ubuntu
Go-Git