CVE-2024-3817

Nome do software vulnerável e versões afetadas:

versões do go-getter anteriores à 1.7.4

o ramo e o pacote go-getter/v2 não foram afetados

Descrição:

A biblioteca go-getter está vulnerável à injeção de argumentos ao executar o Git para descobrir ramos remotos. Um invasor pode formatar uma URL do Git para injetar argumentos adicionais na chamada do Git. Isso pode ocorrer quando o go-getter está realizando uma operação do Git e tenta clonar o repositório especificado, verificando a referência HEAD do repositório remoto em seu ramo padrão, passando argumentos para o binário do Git no host em que está sendo executado.

Recomendações:

Para versões do go-getter anteriores à 1.7.4, atualize para a versão 1.7.4 ou posterior para resolver o problema.

Como solução temporária, considere restringir o uso de URLs do Git que possam ser usadas para injetar argumentos adicionais do Git até que um patch esteja disponível.

Os usuários da biblioteca go-getter devem avaliar o risco associado a essas questões no contexto de seu uso do go-getter.