Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00628

Опубликовано: 10 янв. 2024
Источник: fstec
CVSS3: 7.8
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость библиотеки Python для взаимодействия с git-репозиториями GitPython связана с использованием ненадёжного пути поиска. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код с повышенными привилегиями с помощью специально созданного двоичного файла

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

GitPython

Версия ПО

до 3.1.41 (GitPython)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Microsoft Corp Windows -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/gitpython-developers/GitPython/commit/ef3192cc414f2fd9978908454f6fd95243784c7f
https://github.com/gitpython-developers/GitPython/security/advisories/GHSA-2mqj-m65w-jghx

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 57%
0.00353
Низкий

7.8 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-22190

CVSS3: 7.8
ubuntu
около 2 лет назад

GitPython is a python library used to interact with Git repositories. There is an incomplete fix for CVE-2023-40590. On Windows, GitPython uses an untrusted search path if it uses a shell to run `git`, as well as when it runs `bash.exe` to interpret hooks. If either of those features are used on Windows, a malicious `git.exe` or `bash.exe` may be run from an untrusted repository. This issue has been patched in version 3.1.41.

nvd логотип

CVE-2024-22190

CVSS3: 7.8
nvd
около 2 лет назад

GitPython is a python library used to interact with Git repositories. There is an incomplete fix for CVE-2023-40590. On Windows, GitPython uses an untrusted search path if it uses a shell to run `git`, as well as when it runs `bash.exe` to interpret hooks. If either of those features are used on Windows, a malicious `git.exe` or `bash.exe` may be run from an untrusted repository. This issue has been patched in version 3.1.41.

debian логотип

CVE-2024-22190

CVSS3: 7.8
debian
около 2 лет назад

GitPython is a python library used to interact with Git repositories. ...

github логотип

GHSA-2mqj-m65w-jghx

CVSS3: 7.8
github
около 2 лет назад

Untrusted search path under some conditions on Windows allows arbitrary code execution

EPSS

Процентиль: 57%
0.00353
Низкий

7.8 High

CVSS3

7.2 High

CVSS2