N/A
CVE编号
CVE-2024-21533利用情况
暂无补丁情况
N/A披露时间
2024-10-08漏洞描述
ggit包的各个版本都存在通过clone() API的任意参数注入漏洞。该API允许用户指定远程URL进行克隆操作以及克隆到磁盘上的文件。该库没有对用户输入进行清理或验证给定的URL方案,也没有正确使用双破折号POSIX字符(--)来传递命令行标志给git二进制文件,以标示选项的结束。因此,攻击者可以通过注入恶意参数来执行任意操作,可能导致数据泄露或其他安全问题。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://gist.github.com/lirantal/80c6d59ac1b682a32bc9d2ff92044bb9 | |
| https://security.snyk.io/vuln/SNYK-JS-GGIT-5731319 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论