BDU:2022-04404

Опубликовано: 12 июл. 2022

Источник: fstec

CVSS3: 8.2

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость установщика распределенной системы управления версиями Git связана с использованием ненадёжного пути поиска. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Вендор

Linus Torvalds, Junio Hamano

АО «НТЦ ИТ РОСА»

Наименование ПО

Git

РОСА ХРОМ

Версия ПО

для 2.37.1 (Git)

12.4 (РОСА ХРОМ)

Тип ПО

Прикладное ПО информационных систем

Операционная система

Операционные системы и аппаратные платформы

Microsoft Corp Windows -

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до версии 2.37.1 и выше

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2398

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-31012
CVE

EPSS

Процентиль: 20%

0.00063

Низкий

8.2 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2022-31012

CVSS3: 8.2

nvd

больше 3 лет назад

Git for Windows is a fork of Git that contains Windows-specific patches. This vulnerability in versions prior to 2.37.1 lets Git for Windows' installer execute a binary into `C:\mingw64\bin\git.exe` by mistake. This only happens upon a fresh install, not when upgrading Git for Windows. A patch is included in version 2.37.1. Two workarounds are available. Create the `C:\mingw64` folder and remove read/write access from this folder, or disallow arbitrary authenticated users to create folders in `C:\`.

EPSS

Процентиль: 20%

0.00063

Низкий

8.2 High

CVSS3

6.8 Medium

CVSS2