CVE-2017-1000116

Опубликовано: 10 авг. 2017

Источник: redhat

CVSS3: 6.3

EPSS Низкий

Описание

Mercurial prior to 4.3 did not adequately sanitize hostnames passed to ssh, leading to possible shell-injection attacks.

A shell command injection flaw related to the handling of "ssh" URLs has been discovered in Mercurial. This can be exploited to execute shell commands with the privileges of the user running the Mercurial client, for example, when performing a "checkout" or "update" action on a sub-repository within a malicious repository or a legitimate repository containing a malicious commit.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
Red Hat Enterprise Linux 6	mercurial	Will not fix
Red Hat Enterprise Linux 7	mercurial	Fixed	RHSA-2017:2489	17.08.2017

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important

Дефект:

CWE-20

https://bugzilla.redhat.com/show_bug.cgi?id=1479915mercurial: command injection on clients through malicious ssh URLs

EPSS

Процентиль: 85%

0.02397

Низкий

6.3 Medium

CVSS3

Связанные уязвимости

CVE-2017-1000116

CVSS3: 9.8

ubuntu

около 8 лет назад

Mercurial prior to 4.3 did not adequately sanitize hostnames passed to ssh, leading to possible shell-injection attacks.

CVE-2017-1000116

CVSS3: 9.8

nvd

около 8 лет назад

Mercurial prior to 4.3 did not adequately sanitize hostnames passed to ssh, leading to possible shell-injection attacks.

CVE-2017-1000116

CVSS3: 9.8

debian

около 8 лет назад

Mercurial prior to 4.3 did not adequately sanitize hostnames passed to ...

GHSA-3qmg-c9vc-r47j

CVSS3: 9.8

github

больше 3 лет назад

Mercurial is vulnerable to shell injection attack

BDU:2017-02364

fstec

около 8 лет назад

Уязвимость программного средства управления версиями Mercurial, связанная с отсутствием мер по очистке входных данных, позволяющая нарушителю выполнить произвольные команды операционной системы

EPSS

Процентиль: 85%

0.02397

Низкий

6.3 Medium

CVSS3