一、 漏洞 CVE-2024-21533 基础信息
漏洞信息
# N/A
## 概述
ggit 包的所有版本都存在任意参数注入漏洞,该漏洞通过 clone() API 插入恶意参数。用户可以指定远程 URL 和本地文件路径进行克隆,但库未能对用户输入进行适当清理,也无法验证给定的 URL 方案,同样没有正确地使用双破折号(--)将命令行标志传递给 git 二进制文件。
## 影响版本
所有版本
## 细节
- 问题发生在 `clone()` API 处,用户可以指定需要克隆的远程 URL 地址和本地目标路径。
- ggit 库没有对用户输入进行清理,也未能验证 URL 方案。
- 该库未能正确地使用 `--` 传递命令行标志给 git 二进制文件,这会导致任意参数注入。
## 影响
- 攻击者可以通过构造特定的 URL 注入任意参数,进而对系统进行攻击。
- 该漏洞可导致远程代码执行或其他安全问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
All versions of the package ggit are vulnerable to Arbitrary Argument Injection via the clone() API, which allows specifying the remote URL to clone and the file on disk to clone to. The library does not sanitize for user input or validate a given URL scheme, nor does it properly pass command-line flags to the git binary using the double-dash POSIX characters (--) to communicate the end of options.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
参数注入或修改
来源:美国国家漏洞数据库 NVD
漏洞标题
ggit 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
ggit是Gleb Bahmutov个人开发者的一个工具。 ggit存在安全漏洞,该漏洞源于不会清理用户输入或验证给定的URL方案,容易受到任意参数注入攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-21533 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | CVE-2024-21533 PoC ggit | https://github.com/lirantal/CVE-2024-21533-PoC-ggit | POC详情 |
三、漏洞 CVE-2024-21533 的情报信息
四、漏洞 CVE-2024-21533 的评论
暂无评论