प्लेटफ़ॉर्म
rust
घटक
gix-worktree-state
में ठीक किया गया
0.36.1
0.11.0
CVE-2024-35186 gix-worktree-state में एक गंभीर भेद्यता है जो हमलावरों को रिपॉजिटरी के बाहर मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है। यह भेद्यता तब उत्पन्न होती है जब क्लोनिंग के दौरान, पथों को कार्यशील ट्री में मान्य नहीं किया जाता है। प्रभावित संस्करणों में gix-worktree-state के सभी संस्करण शामिल हैं, लेकिन 0.11.0 में इस समस्या का समाधान किया गया है।
यह भेद्यता एक हमलावर को रिपॉजिटरी के बाहर मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है, जिससे सिस्टम पर गंभीर प्रभाव पड़ सकता है। हमलावर महत्वपूर्ण सिस्टम फ़ाइलों को ओवरराइट कर सकता है, मैलवेयर स्थापित कर सकता है, या संवेदनशील डेटा चुरा सकता है। चूंकि यह भेद्यता gitoxide के कार्यशील ट्री प्रबंधन में है, इसलिए इसका उपयोग रिपॉजिटरी क्लोनिंग प्रक्रिया को बाधित करने या सिस्टम को समझौता करने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से उन वातावरणों में खतरनाक है जहां अविश्वसनीय रिपॉजिटरी को नियमित रूप से क्लोन किया जाता है।
CVE-2024-35186 को अभी तक KEV में सूचीबद्ध नहीं किया गया है, लेकिन इसकी उच्च CVSS स्कोर (8.8) इंगित करती है कि इसका शोषण उच्च संभावना है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2024-05-22 को प्रकाशित हुई थी।
Developers and systems administrators who use gitoxide in their workflows are at risk. This includes those involved in CI/CD pipelines, automated build processes, and any environment where Git repositories are cloned from untrusted sources. Shared hosting environments where multiple users have write access to the same Git repository are particularly vulnerable.
• linux / server:
find /path/to/git/working/directory -type f -not -path "*/.git/*" -printf '%f\n' | sort | uniq -c | sort -nr | head -10This command searches for the 10 most frequently created files in the Git working directory, which could indicate malicious file creation. • windows / supply-chain:
Get-ChildItem -Path $env:TEMP -Recurse -File | Sort-Object LastWriteTime -Descending | Select-Object -First 10This PowerShell command lists the 10 most recently modified files in the temporary directory, which could reveal suspicious file activity. • generic web:
curl -I <gitoxide_repository_url> | grep 'Content-Type:'Inspect the Content-Type header of the Git repository URL to ensure it's a valid Git repository and not attempting to serve malicious content.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.43% (63% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-35186 को कम करने के लिए, gix-worktree-state को संस्करण 0.11.0 में अपग्रेड करना आवश्यक है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो अविश्वसनीय स्रोतों से रिपॉजिटरी को क्लोन करने से बचें। रिपॉजिटरी क्लोन करने से पहले, सुनिश्चित करें कि रिपॉजिटरी विश्वसनीय है और इसमें दुर्भावनापूर्ण सामग्री नहीं है। फ़ायरवॉल नियमों को कॉन्फ़िगर करके रिपॉजिटरी तक पहुंच को सीमित करना भी एक निवारक उपाय हो सकता है। अपग्रेड के बाद, यह सत्यापित करें कि क्लोनिंग प्रक्रिया अपेक्षित रूप से काम कर रही है और कोई अनपेक्षित फ़ाइलें नहीं बन रही हैं।
Actualice la biblioteca gitoxide a la versión 0.36.0 o superior. Esto corregirá la vulnerabilidad de recorrido de directorio que permite la ejecución de código arbitrario. Asegúrese de actualizar todas las dependencias que utilicen gitoxide para evitar la propagación de la vulnerabilidad.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-35186 gix-worktree-state में एक भेद्यता है जो हमलावरों को रिपॉजिटरी के बाहर मनमाने ढंग से फ़ाइलें लिखने की अनुमति देती है, जिससे सिस्टम समझौता हो सकता है।
यदि आप gix-worktree-state के संस्करण 0.11.0 से पहले किसी भी संस्करण का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
CVE-2024-35186 को ठीक करने के लिए, gix-worktree-state को संस्करण 0.11.0 में अपग्रेड करें।
हालांकि सार्वजनिक PoC अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए gix प्रोजेक्ट की वेबसाइट या संबंधित सुरक्षा बुलेटिन देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी Cargo.lock फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।