从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 名称:Argument Injection vulnerability in ggit@2.4.12 - 描述:ggit 描述自己为本地 promise 返回的 git 命令包装器。 2. 资源: - 项目 GitHub 源代码:https://github.com/bahmutov/ggit - 项目 npm 包:https://www.npmjs.com/package/ggit 3. 背景和利用: - 背景:ggit 的 API 允许指定远程 URL 来克隆文件到磁盘。 - 利用: - ggit 不对用户输入进行验证或验证给定的 URL 方案。 - ggit 不正确地将命令行标志传递给 git,使用双破折号 POSIX 字符串( )来通信选项的结束。 - 允许用户利用 ggit 中的漏洞来执行任意命令。 4. 利用步骤: 1. 安装 ggit@2.4.12 或更早版本。 2. 使用以下 POC: 3. 观察磁盘上创建的新文件,路径为 。 5. 作者: - Liran Tal 这些信息详细描述了 ggit@2.4.12 中的 Argument Injection 漏洞,包括漏洞的利用方法和利用步骤。