【漏洞预警】simple-git-hooks存在未明漏洞(CVE-2022-24066)

admin 2022年5月10日22:17:40安全漏洞评论10 views710字阅读2分22秒阅读模式

 01


漏洞描述



 

git-hook是一个搭建在远端服务器上的git钩子服务,它有着远大的理想,但目前实现较为简单。现在绝大多数git仓库管理平台都支持设置一个回调URL,包括github、oschina、Coding等。当开发者在本地push代码到远程时,就会向该URL发起请求,接收该请求的服务器可以在本地运行一个配置好的命令。该工具就是用来管理这些命令的。simple-git-hooks是一个应用软件。一个简单的git钩子经理小型项目。

 

simple-git-hooks 3.5.0之前版本存在安全漏洞,攻击者利用该漏洞进行命令注入


 02

漏洞危害



由于[CVE-2022-24433](https://security.snyk.io/vuln/SNYK-JS-SIMPLEGIT-2421199) 的不完整修复,3.5.0 之前的包 simple-git 容易受到命令注入的影响针对 git fetch 攻击向量的补丁。git clone 也支持 git 的 --upload-pack 功能的类似使用,之前的修复没有涵盖。


 03

影响范围





simple-git-hooks simple-git-hooks <3.5.0

04

漏洞等级

   

   高


 05

修复方案

目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:

https://gist.github.com/lirantal/a930d902294b833514e821102316426b





















END

长按识别二维码,了解更多


【漏洞预警】simple-git-hooks存在未明漏洞(CVE-2022-24066)


原文始发于微信公众号(易东安全研究院):【漏洞预警】simple-git-hooks存在未明漏洞(CVE-2022-24066)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月10日22:17:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞预警】simple-git-hooks存在未明漏洞(CVE-2022-24066) http://cn-sec.com/archives/995999.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: