PT-2024-18946 · Ggit · Ggit
Liran Tal
·
Publicado
2024-10-07
·
Atualizado
2026-03-27
·
CVE-2024-21532
CVSS v3.1
7.3
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Todas as versões do ggit
Descrição
A vulnerabilidade diz respeito à injeção de comando por meio da API
fetchTags(branch), que permite que a entrada do usuário especifique o branch a ser buscado. Essa entrada é então concatenada com um comando git e passada para a API exec() do processo filho do Node.js, que não é segura.Recomendações
Para todas as versões, considere desativar a API
fetchTags(branch) até que um patch esteja disponível para impedir a exploração. Restrinja o acesso à função exec() para minimizar o risco de injeção de comando. Evite usar dados inseridos pelo usuário na variável branch para impedir que comandos maliciosos sejam executados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ggit