Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-04385

Опубликовано: 23 мая 2024
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость библиотеки на языке Rust для работы с Git-репозиториями gitoxide связана с ошибками в обработке относительного пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

gitoxide
gitoxide-core
gix
gix-fs
gix-index
gix-worktree
gix-worktree-stat

Версия ПО

до 0.36.0 (gitoxide)
до 0.38.0 (gitoxide-core)
до 0.63.0 (gix)
до 0.11.0 (gix-fs)
до 0.33.0 (gix-index)
до 0.34.0 (gix-worktree)
до 0.11.0 (gix-worktree-stat)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Обновление gitoxide до версии 0.36.0 и выше.
Обновление gitoxide-core до версии 0.38.0 и выше.
Обновление gix до версии 0.63.0 и выше.
Обновление gix-fs до версии 0.11.0 и выше.
Обновление gix-index до версии 0.33.0 и выше.
Обновление gix-worktree до версии 0.34.0 и выше.
Обновление gix-worktree-state до версии 0.11.0 и выше.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 62%
0.00434
Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-35186

CVSS3: 8.8
ubuntu
больше 1 года назад

gitoxide is a pure Rust implementation of Git. During checkout, `gix-worktree-state` does not verify that paths point to locations in the working tree. A specially crafted repository can, when cloned, place new files anywhere writable by the application. This vulnerability leads to a major loss of confidentiality, integrity, and availability, but creating files outside a working tree without attempting to execute code can directly impact integrity as well. This vulnerability has been patched in version(s) 0.36.0.

nvd логотип

CVE-2024-35186

CVSS3: 8.8
nvd
больше 1 года назад

gitoxide is a pure Rust implementation of Git. During checkout, `gix-worktree-state` does not verify that paths point to locations in the working tree. A specially crafted repository can, when cloned, place new files anywhere writable by the application. This vulnerability leads to a major loss of confidentiality, integrity, and availability, but creating files outside a working tree without attempting to execute code can directly impact integrity as well. This vulnerability has been patched in version(s) 0.36.0.

debian логотип

CVE-2024-35186

CVSS3: 8.8
debian
больше 1 года назад

gitoxide is a pure Rust implementation of Git. During checkout, `gix-w ...

github логотип

GHSA-7w47-3wg8-547c

CVSS3: 8.8
github
больше 1 года назад

gix traversal outside working tree enables arbitrary code execution

EPSS

Процентиль: 62%
0.00434
Низкий

8.8 High

CVSS3

10 Critical

CVSS2