从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 名称:gix-path improperly resolves configuration path reported by Git - 发布者:Byron - CVE编号:CVE-2024-45405 - 描述:gix-path运行git时,会找到与git安装相关的配置文件路径,但在处理包含非ASCII字符的路径时,会错误地解析路径,导致本地攻击者能够注入配置,从而引发代码执行。 2. 受影响版本: - 受影响版本:= 0.10.11 3. 代码示例: - 提供了gix-path源代码中相关函数的示例,展示了如何处理配置文件路径。 4. 演示: - 提供了在Unix和Windows系统上的演示,展示了如何利用该漏洞创建配置文件并执行攻击。 5. 影响: - 单用户系统:在单用户系统中,利用该漏洞的可能性较低,除非配置文件被设置为不寻常的值或Git被安装在不寻常的方式。 - 多用户系统:在多用户系统中,利用该漏洞的可能性较高,尤其是在某些不常见的配置或用例中。特别是对于Apple Git在macOS上,由于其高权限配置,利用该漏洞的可能性较低。 6. 严重性: - 严重性:中等(Moderate) 7. CVSS评分: - 评分:6.0 / 10 8. 漏洞利用: - 利用条件:需要特定的配置文件设置和Git的安装位置。 - 利用步骤:在Unix系统上,需要特定的配置文件设置和Git的安装位置;在Windows系统上,需要特定的配置文件设置和Git的安装位置。 9. 影响范围: - 影响范围:主要影响gix-path的用户,特别是那些在Unix和Windows系统上使用Git的用户。 通过这些信息,可以更好地理解该漏洞的性质、影响范围以及如何利用该漏洞进行攻击。