CVE-2024-32004
Git vulnerable to Remote Code Execution while cloning special-crafted local repositories
En resumen
Git puede ser engañado para ejecutar código malicioso al clonar un repositorio especialmente preparado. Un atacante puede incrustar código en un repositorio que se ejecuta automáticamente durante la clonación, comprometiendo su computadora.
Detalle técnico
CVE-2024-32004 explota el manejo inadecuado de la inicialización de repositorios en versiones de Git anteriores a 2.45.1 y versiones con parches anteriores. El vector de ataque requiere preparación local del repositorio; cuando una víctima clona el repositorio malicioso, código arbitrario se ejecuta con los privilegios del usuario que clona. Las versiones afectadas fallan en sanitizar el contenido del repositorio durante operaciones de clonación.
Resumen generado y traducido por IA a partir de la descripción oficial.
Git is a revision control system. Prior to versions 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2, and 2.39.4, an attacker can prepare a local repository in such a way that, when cloned, will execute arbitrary code during the operation. The problem has been patched in versions 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2, and 2.39.4. As a workaround, avoid cloning repositories from untrusted sources.
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Productos afectados
git · git¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://github.com/git/git/commit/f4aa8c8bb11dae6e769cd930565173808cbb69c8https://github.com/git/git/security/advisories/GHSA-xfc6-vwr8-r389https://git-scm.com/docs/git-clonehttps://lists.debian.org/debian-lts-announce/2024/06/msg00018.htmlhttps://lists.debian.org/debian-lts-announce/2024/09/msg00009.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/S4CK4IYTXEOBZTEM5K3T6LWOIZ3S44AR/http://www.openwall.com/lists/oss-security/2024/05/14/2