CVE-2017-8768

Опубликовано: 04 мая 2017

Источник: nvd

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Atlassian SourceTree v2.5c and prior are affected by a command injection in the handling of the sourcetree:// scheme. It will lead to arbitrary OS command execution with a URL substring of sourcetree://cloneRepo/ext:: or sourcetree://checkoutRef/ext:: followed by the command. The Atlassian ID number is SRCTREE-4632.

Ссылки

http://openwall.com/lists/oss-security/2017/05/03/5
Mailing List
Third Party Advisory
http://seclists.org/fulldisclosure/2017/May/10
Mailing List
Third Party Advisory
http://www.securityfocus.com/bid/98329
Third Party Advisory
VDB Entry
https://www.youtube.com/watch?v=SQ1_Ht-0Bdo
Third Party Advisory
http://openwall.com/lists/oss-security/2017/05/03/5
Mailing List
Third Party Advisory
http://seclists.org/fulldisclosure/2017/May/10
Mailing List
Third Party Advisory
http://www.securityfocus.com/bid/98329
Third Party Advisory
VDB Entry
https://www.youtube.com/watch?v=SQ1_Ht-0Bdo
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:atlassian:sourcetree:*:*:*:*:*:*:*:*

Версия до 2.5c (включая)

EPSS

Процентиль: 92%

0.08015

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-78

Связанные уязвимости

GHSA-pf5p-r5w7-3r8g

CVSS3: 9.8

github

больше 3 лет назад

BDU:2017-02230

CVSS3: 9.8

fstec

почти 9 лет назад

Уязвимость визуального Git-клиента SourceTree, существующая из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы, позволяющая нарушителю выполнить произвольную команду

EPSS

Процентиль: 92%

0.08015

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-78