研究人员在Windows版的SVN中发现代码执行漏洞

admin 2024年10月11日20:50:10评论34 views字数 1056阅读3分31秒阅读模式

研究人员在Windows版的SVN中发现代码执行漏洞


Apache Subversion(SVN)是一款广受开发者欢迎的版本控制系统,用于维护源代码、网页和文档。最近,Apache Subversion中发现了一个关键的安全漏洞,CVE-2024-45720(CVSS评分8.2)。该漏洞主要影响Windows平台,可能导致命令行参数注入,从而执行非预期的程序。


研究人员在Windows版的SVN中发现代码执行漏洞


根据Apache Subversion项目的安全公告,该漏洞源于Windows平台上命令行参数的处理方式。具体来说,当命令行参数传递给svn.exe等Subversion可执行文件时,会发生“最佳匹配”字符编码转换。公告解释道:“攻击者如果能够运行Subversion的一个可执行文件(svn.exe等),并使用特制的命令行参数字符串,可以利用字符编码转换过程导致意外的命令行参数解释,从而导致参数注入和其他程序的执行。”


这个漏洞因为Windows处理命令行参数的方式与UNIX-like平台不同而变得更加严重。在Windows上,命令行参数作为单个字符串传递给程序,然后程序必须将其解析为单独的参数。在这个过程中,特别是当涉及到某些Unicode字符时,会发生“最佳匹配”字符编码转换,可能导致不可预测的结果,包括执行恶意命令。


公告指出:“已知Subversion在Windows 10和11上受到影响;它可能也会影响大多数其他版本的Windows。”


尽管这个问题仅限于Windows平台,但Apache Subversion在开发环境中的广泛使用增加了风险,因为许多团队依赖Subversion来管理跨各种项目的版本控制过程。这个漏洞对UNIX-like平台(如Linux和macOS)没有影响,因为这些平台处理命令行参数的方式不同。


该漏洞由DEVCORE研究团队的安全研究人员Orange Tsai和Splitline报告,该团队以识别关键软件漏洞而闻名。


CVE-2024-45720漏洞已在Subversion 1.14.4中得到修复,强烈建议所有Windows平台的用户升级到这个修复版本。对于那些无法立即升级的用户,公告提供了一个临时缓解措施,即应用Subversion项目提供的补丁。


FreeBuf粉丝交流群招新啦!
在这里,拓宽网安边界
甲方安全建设干货;
乙方最新技术理念;
全球最新的网络安全资讯;
群内不定期开启各种抽奖活动;
FreeBuf盲盒、大象公仔......
扫码添加小蜜蜂微信回复「加群」,申请加入群聊
研究人员在Windows版的SVN中发现代码执行漏洞

研究人员在Windows版的SVN中发现代码执行漏洞
研究人员在Windows版的SVN中发现代码执行漏洞
研究人员在Windows版的SVN中发现代码执行漏洞
研究人员在Windows版的SVN中发现代码执行漏洞

研究人员在Windows版的SVN中发现代码执行漏洞

研究人员在Windows版的SVN中发现代码执行漏洞

原文始发于微信公众号(FreeBuf):研究人员在Windows版的SVN中发现代码执行漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月11日20:50:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   研究人员在Windows版的SVN中发现代码执行漏洞https://cn-sec.com/archives/3256298.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息