漏洞公告
近日,中国电信SRC监测到Git官方发布安全公告,Git远程代码执行漏洞(CVE-2024-32002),CVSS3.X:9.0。该漏洞由于在不区分大小写的文件系统(例如Windows 和 macOS 上的默认文件系统)上Git会将某些路径视为同一路径。具备子模块的仓库可以利用这个缺陷,欺骗Git不将文件写入子模块的目录,而是写入 “.git” 目录,进而在 clone 存储库时("git clone --recursive git@xxx.com" )执行 Hook。目前漏洞PoC已公开,请受影响用户尽快采取措施进行防护。当前官方已发布相关补丁,建议用户及时更新对应补丁修复漏洞。
参考链接:https://nvd.nist.gov/vuln/detail/ CVE-2024-32002
注意:仅影响Windows和Mac系统的上述版本
漏洞描述
Git远程代码执行风险提示(CVE-2024-32002):攻击者可以利用 Git 的一个 Bug 制作带有子模块的版本库,从而欺骗 Git,使其不将文件写入子模块的工作树,而是写入".git/"目录。这就允许编写一个钩子,在克隆操作时执行攻击者设计的恶意指令,由于恶意命令执行发生在克隆过程中,使用户没有机会从本地检查克隆的仓库是否包含恶意命令。
| 细节是否公开 |
POC状态/EXP状态 |
在野利用 |
| 否 |
已公开 |
未发现 |
点亮“在看”,你最好看