git-interface@2.1.1 中的命令注入漏洞

admin

102205
文章

87
评论

2022年4月28日12:50:21评论45 views字数 955阅读3分11秒阅读模式

[email protected] 中的命令注入漏洞

git-interface将自己描述为与 node.js 中的 git 存储库一起使用的接口

资源：

项目的GitHub源代码：

https://github.com/yarkeev/git-interface

项目的npm包：

https://www.npmjs.com/package/git-interface

报告git-interfacenpm 包中的操作系统命令注入漏洞。如果用户输入能够提供磁盘上的有效目录并提供目标目录来克隆存储库，则 API 可能会被滥用。

POC

安装[email protected]最新的。

运行以下代码，具有以下前提条件，其中/tmp/new目录需要存在（但不需要是 .git 初始化目录），因此，您可以提供可预测的路径，例如 say /usr/src：

const { Git } = require('git-interface');
const git = new Git({    dir: '/tmp/new' //default path is current directory});
git.clone('file:///tmp/new', '--upload-pack=echo>/tmp/pwned');

观察创建的新文件：/tmp/pwned

缓解建议

使用 shell--表示法作为支持的命令行参数的后缀（如果有的话），以确保传递给 git 命令的输入是位置参数而不是命令行参数。例如：git clone -- <path> <destination>将防止路径和目标被解释为 git 命令的命令行参数。

影响

如果两者都由用户输入提供，那么--upload-packgit 也支持使用命令行参数功能git clone，这将允许攻击者生成任何操作系统命令。

参考

Liran Tal 的 GitHub 要点

https://gist.github.com/lirantal/972eba057d4b60bd1656d68b40899eab

原文地址：

https://huntr.dev/bounties/cdc25408-d3c1-4a9d-bb45-33b12a715ca1/

美女压阵

扫描二维码获取

[email protected] 中的命令注入漏洞

用友-政务-FileDownload-任意文件读取漏洞复现

卡车卫星定位系统/user/create存在未授权密码重置漏洞

用友-U8-Cloud-TableInputOperServlet存在反序列化漏洞

CVE-2024-26503

致远互联 OA fileUpload.do 文件上传漏洞

某世界500强企业|存在通杀漏洞(0day)

CVE-2024-32409 POC

【Weblogic 文件上传漏洞（CVE-2019-2618）

Weblogic 任意文件读取漏洞（CVE-2019-2615)

用友U8 slbmbygr.jsp 存在sql注入

发表评论

在线咨询

微信