CVE-2023-23946

Git's `git apply` overwriting paths outside the working tree

CVSS 6.2 MEDIUMEPSS 1.1%CWE-22

En resumen

El comando `git apply` de Git puede ser engañado para escribir archivos fuera del directorio de trabajo previsto al procesar un parche especialmente diseñado, permitiendo que un atacante sobrescriba archivos arbitrarios en el sistema.

Detalle técnico

Vulnerabilidad de traversal de ruta en `git apply` (CWE-22) permite sobrescritura de archivos arbitrarios mediante parches maliciosos que explotan el manejo de enlaces simbólicos. El vector de ataque requiere que el usuario aplique un parche no confiable; el impacto es la sobrescritura de archivos con privilegios del usuario que ejecuta git.

Resumen generado y traducido por IA a partir de la descripción oficial.

Git, a revision control system, is vulnerable to path traversal prior to versions 2.39.2, 2.38.4, 2.37.6, 2.36.5, 2.35.7, 2.34.7, 2.33.7, 2.32.6, 2.31.7, and 2.30.8. By feeding a crafted input to `git apply`, a path outside the working tree can be overwritten as the user who is running `git apply`. A fix has been prepared and will appear in v2.39.2, v2.38.4, v2.37.6, v2.36.5, v2.35.7, v2.34.7, v2.33.7, v2.32.6, v2.31.7, and v2.30.8. As a workaround, use `git apply --stat` to inspect a patch before applying; avoid applying one that creates a symbolic link and then creates a file beyond the symbolic link.

CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Productos afectados

git · git

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/git/git/commit/c867e4fa180bec4750e9b54eb10f459030dbebfd https://github.com/git/git/security/advisories/GHSA-r87m-v37r-cwfh https://security.gentoo.org/glsa/202312-15