[CVE-2024-32002] Уязвимость удаленного выполнения кода в программе контроля версий Git Code с POC/Exploit

Описание уязвимости:

Git - это популярная распределенная система контроля версий для совместной разработки программного обеспечения. Она может быть установлена на компьютерах под управлением Windows, macOS, Linux и различных дистрибутивов *BSD.

CVE-2024-32002Уязвимость представляет собой уязвимость в Git, позволяющую выполнить RCE git clone во время операций. Создав репозитории с подмодулями определенным образом, злоумышленник может выполнить вредоносные хуки путем записи файлов в каталог .git/, используя нечувствительную к регистру обработку символических ссылок в файловой системе.

Потенциальное воздействие этой уязвимости усугубляется широким распространением Git в разработке программного обеспечения на GitHub и GitLab, веб-платформах для разработки программного обеспечения.

Затронутые версии:

Уязвимость применима только к версиям Git до 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 и 2.39.4, с поддержкой символьных ссылок и операционной системой, не чувствительной к регистру.

Проверка уязвимости:

https://github.com/amalmurali47/git_rce

Примечание: этот PoC доступен только для систем Windows или Mac.

Обновления системы безопасности:

Эти уязвимости были исправлены в Git v2.45.1, v2.44.1, v2.43.4, v2.42.2, v2.41.1, v2.40.2 и v2.39.4.

Ссылаться на:

https://amalmurali.me/posts/git-rce/

https://github.com/amalmurali47/git_rce

https://github.com/git/git/commit/97065761333fd62db1912d81b489db938d8c991d