CVE-2023-29012

Опубликовано: 25 апр. 2023

Источник: nvd

CVSS3: 7.2

CVSS3: 7.8

EPSS Низкий

Описание

Git for Windows is the Windows port of Git. Prior to version 2.40.1, any user of Git CMD who starts the command in an untrusted directory is impacted by an Uncontrolles Search Path Element vulnerability. Maliciously-placed doskey.exe would be executed silently upon running Git CMD. The problem has been patched in Git for Windows v2.40.1. As a workaround, avoid using Git CMD or, if using Git CMD, avoid starting it in an untrusted directory.

Ссылки

https://github.com/git-for-windows/git/releases/tag/v2.40.1.windows.1
Release Notes
https://github.com/git-for-windows/git/security/advisories/GHSA-gq5x-v87v-8f7g
Vendor Advisory
https://github.com/git-for-windows/git/releases/tag/v2.40.1.windows.1
Release Notes
https://github.com/git-for-windows/git/security/advisories/GHSA-gq5x-v87v-8f7g
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:git_for_windows_project:git_for_windows:*:*:*:*:*:*:*:*

Версия до 2.40.1 (исключая)

EPSS

Процентиль: 26%

0.0009

Низкий

7.2 High

CVSS3

7.8 High

CVSS3

Дефекты

CWE-427

Связанные уязвимости

CVE-2023-29012

msrc

больше 2 лет назад

GitHub: CVE-2023-29012 Git CMD erroneously executes `doskey.exe` in current directory, if it exists

BDU:2023-06555

CVSS3: 7.8

fstec

почти 3 года назад

Уязвимость исполняемого файла doskey.exe распределенной системы контроля версий Git для Windows, позволяющая нарушителю выполнить произвольный код

BDU:2023-06647

CVSS3: 5.5

fstec

около 3 лет назад

Уязвимость распределенной системы контроля версий Git для Windows, связанная с отсутствием защиты служебных данных, позволяющая нарушителю получить доступ к конфиденциальной информации

BDU:2023-06554

CVSS3: 7.8

fstec

почти 3 года назад

Уязвимость исполняемого файла connect.exe распределенной системы контроля версий Git для Windows, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 26%

0.0009

Низкий

7.2 High

CVSS3

7.8 High

CVSS3

Дефекты

CWE-427