01
漏洞描述
git-hook是一个搭建在远端服务器上的git钩子服务,它有着远大的理想,但目前实现较为简单。现在绝大多数git仓库管理平台都支持设置一个回调URL,包括github、oschina、Coding等。当开发者在本地push代码到远程时,就会向该URL发起请求,接收该请求的服务器可以在本地运行一个配置好的命令。该工具就是用来管理这些命令的。simple-git-hooks是一个应用软件。一个简单的git钩子经理小型项目。
simple-git-hooks 3.5.0之前版本存在安全漏洞,攻击者利用该漏洞进行命令注入。
02
漏洞危害
由于[CVE-2022-24433](https://security.snyk.io/vuln/SNYK-JS-SIMPLEGIT-2421199) 的不完整修复,3.5.0 之前的包 simple-git 容易受到命令注入的影响针对 git fetch 攻击向量的补丁。git clone 也支持 git 的 --upload-pack 功能的类似使用,之前的修复没有涵盖。
03
影响范围
simple-git-hooks simple-git-hooks <3.5.0
04
漏洞等级
高危
05
修复方案
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:
https://gist.github.com/lirantal/a930d902294b833514e821102316426b
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】simple-git-hooks存在未明漏洞(CVE-2022-24066)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论