一、 漏洞 CVE-2017-8386 基础信息
漏洞信息
                                        # N/A

## 概述
Git-shell在特定版本的Git中存在漏洞,允许远程认证用户通过以-(连字符)开头的仓库名称提升权限。

## 影响版本
- 2.4.12之前的2.4.x
- 2.5.6之前的2.5.x
- 2.6.7之前的2.6.x
- 2.7.5之前的2.7.x
- 2.8.5之前的2.8.x
- 2.9.4之前的2.9.x
- 2.10.3之前的2.10.x
- 2.11.2之前的2.11.x
- 2.12.3之前的2.12.x

## 细节
该漏洞由git-shell中的一个处理漏洞引起,它允许用户通过以连字符(-)开头的仓库名称来提升权限。

## 影响
远程认证用户可能利用此漏洞以获得更高的系统权限。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
git-shell in git before 2.4.12, 2.5.x before 2.5.6, 2.6.x before 2.6.7, 2.7.x before 2.7.5, 2.8.x before 2.8.5, 2.9.x before 2.9.4, 2.10.x before 2.10.3, 2.11.x before 2.11.2, and 2.12.x before 2.12.3 might allow remote authenticated users to gain privileges via a repository name that starts with a - (dash) character.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Git git-shell 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Git是美国软件开发者林纳斯-托瓦兹(Linus Torvalds)所研发的一套免费、开源的分布式版本控制系统。git-shell是一个命令行工具。 Git中的git-shell存在安全漏洞。远程攻击者可借助以破折号字符开头的储存库名称利用该漏洞获取权限。以下版本受到影响:Git 2.4.12之前的版本,2.5.6之前的2.5.x版本,2.6.7之前的2.6.x版本,2.7.5之前的2.7.x版本,2.8.5之前的2.8.x版本,2.9.4之前的2.9.x版本,2.10.3之前的2.10.x版本,2.11
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
权限许可和访问控制问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2017-8386 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/Threekiii/Awesome-POC/blob/master/%E5%85%B6%E4%BB%96%E6%BC%8F%E6%B4%9E/GIT-SHELL%20%E6%B2%99%E7%9B%92%E7%BB%95%E8%BF%87%20CVE-2017-8386.md POC详情
2 https://github.com/vulhub/vulhub/blob/master/git/CVE-2017-8386/README.md POC详情
3 PoC for CVE-2017-8386 Git-Shell sandbox bypass vulnerability. https://github.com/suz1n/WHS3_vulhub POC详情
三、漏洞 CVE-2017-8386 的情报信息
四、漏洞 CVE-2017-8386 的评论

暂无评论

发表评论