0x00 漏洞编号

• CVE-2024-6257

0x01 危险等级

• 高危
  

0x02 漏洞概述

go-getter是一个Golang库，用于从URL、文件系统及其他位置获取资源，支持通过git协议拉取仓库。

0x03 漏洞详情

CVE-2024-6257

漏洞类型：命令注入

影响：远程代码执行

简述：go-getter中存在命令注入漏洞，由于get_git.go文件未对`.git`目录中的文件进行校验，如果攻击者对克隆的git存储库可控，攻击者可诱导用户覆盖原有存储库中的git config文件，当用户更新该仓库时会触发远程代码执行。

0x04 影响版本

• go-getter < 1.7.5

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://github.com/hashicorp/go-getter

原文始发于微信公众号（浅安安全）：漏洞预警 | go-getter命令注入漏洞