CVE-2024-45405

Nome do software vulnerável e versões afetadas:

Versões do gix-path anteriores à 0.10.11

Descrição:

O problema diz respeito à resolução incorreta de caminhos que contêm caracteres incomuns ou não ASCII pelo gix-path, o que pode permitir que um invasor local injete configurações, levando à execução de código em casos raros. Isso ocorre quando o gix-path tenta localizar o caminho de um arquivo de configuração associado à instalação do git usando git config -l --show-origin. O problema surge porque as versões afetadas do gix-path não passam -z/--null para fazer com que o git relate caminhos literais, tentando, em vez disso, analisar caminhos entre aspas removendo as aspas, o que pode resultar em outro caminho válido, mas não equivalente. É improvável que haja exploração em sistemas de usuário único, a menos que o git tenha sido instalado de maneira incomum, e também é improvável em sistemas multiusuário, embora seja plausível em configurações ou casos de uso incomuns.

Recomendações:

Para versões anteriores à 0.10.11, atualize para a versão 0.10.11 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso das funções installation config e installation config prefix em gix path::env até que um patch seja aplicado. Evite usar arquivos de configuração personalizados no escopo system com caminhos ou nomes incomuns e certifique-se de que o git esteja instalado em um local padrão para minimizar o risco de exploração.