关键信息提炼 漏洞详情 CVE编号: CVE-2018-7032 漏洞描述: 缺少URL的清理,导致可能的任意代码执行。 影响范围 包: myrepos 版本: myrepos/1.20160123 修复版本: myrepos/1.20180726 报告与修复 报告人: Jakub Wilk 报告日期: 2016年10月7日 修复者: Paul Wise 修复日期: 2018年2月7日 漏洞细节 攻击向量: 传递未清理的URL到 ,可能导致恶意的Web服务器操作员或MitM攻击者利用其进行任意代码执行。 PoC: 尝试克隆一个恶意设计的URL(包含 命令注入内容)。 修复措施 建议措施: - 使用whitelist机制验证git远程协议。 - 更新 检查git版本,并对2.12版以上的git应用手动白名单(不包括ext:)。 - 提交针对git问题的补丁。 修复代码链接: - https://source.myrepos.branchable.com/?p=source.myrepos;a=commitdiff;h=f8b5baf18928544ce5c3575641fe852a86e93254 - http://source.myrepos.branchable.com/?p=source.git;a=commitdiff;h=57b5fa2b85c6285c2f88de242016fdbeb112b91e