漏洞描述:
Git是一种广受欢迎的用于协作软件开发的分布式版本控制系统。它可以安装在运行 Windows、macOS、Linux 和各种 *BSD 发行版的计算机上。
CVE-2024-32002漏洞是 Git 中的一个漏洞,可在操作期间实现 RCE git clone。通过以特定方式制作带有子模块的存储库,攻击者可以利用不区分大小写的文件系统上的符号链接处理将文件写入目录.git/,从而执行恶意钩子。
基于 Web 的软件开发平台 GitHub 和 GitLab 均基于 Git。在软件开发中的广泛采用,加剧了此漏洞的潜在影响。
受影響版本:
该漏洞仅适用于 2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2 和 2.39.4 之前的 Git 版本,配置了符号链接支持并且操作系统不区分大小写。
漏洞驗證:
https://github.com/amalmurali47/git_rce
注意:此 PoC 仅适用于 Windows 或 Mac 系统。
安全更新:
Git v2.45.1、v2.44.1、v2.43.4、v2.42.2、v2.41.1、v2.40.2 和 v2.39.4 中已修补这些漏洞。
參考:
https://amalmurali.me/posts/git-rce/
https://github.com/amalmurali47/git_rce
https://github.com/git/git/commit/97065761333fd62db1912d81b489db938d8c991d
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/tw/cve-2024-32002-git-rce-vulnerability-poc-exploit-released-html