CVE-2024-35186

Versões do gitoxide anteriores à 0.36.0

Durante o checkout, o gitoxide não verifica se os caminhos apontam para locais na árvore de trabalho. Um repositório especialmente criado pode, ao ser clonado, inserir novos arquivos em qualquer local onde a aplicação tenha permissão de gravação. Essa vulnerabilidade leva a uma grave perda de confidencialidade, integridade e disponibilidade. A criação de arquivos fora de uma árvore de trabalho sem tentar executar código também pode afetar diretamente a integridade. O problema decorre da falta de verificação pelo gix-worktree-state e de verificações inadequadas de caminho no gix-fs e no gix-worktree. Isso permite a execução de código arbitrário por meio da colocação de arquivos em locais onde é provável que sejam executados em breve, como pela instalação de hooks em um diretório .git.

Atualize para a versão 0.36.0 ou posterior para corrigir a vulnerabilidade.

Como solução temporária, considere restringir o uso do gix-worktree-state e do gix-fs para impedir a exploração dessa vulnerabilidade até que uma correção seja aplicada.

Evite clonar repositórios não confiáveis para minimizar o risco de exploração.