Platform
rust
Component
gix-worktree-state
Opgelost in
0.36.1
0.11.0
CVE-2024-35186 is een kwetsbaarheid in gitoxide, een Rust-gebaseerde Git-implementatie. Deze kwetsbaarheid stelt een aanvaller in staat om, bij het klonen van een kwaadwillend repository, nieuwe bestanden buiten de repository te plaatsen. De kwetsbaarheid treedt op tijdens het checkout-proces, waar paden niet worden geverifieerd. De kwetsbaarheid is verholpen in versie 0.11.0.
Deze kwetsbaarheid kan leiden tot ernstige gevolgen. Een aanvaller kan, door een speciaal ontworpen repository te leveren, willekeurige bestanden op het systeem van het slachtoffer plaatsen. Dit kan resulteren in het overschrijven van kritieke systeembestanden, het installeren van malware of het verkrijgen van controle over het systeem. De impact is vergelijkbaar met een klassieke path traversal kwetsbaarheid, maar dan via een Git-repository. De mogelijkheid om willekeurige bestanden te schrijven, vergroot de aanvalsoppervlakte aanzienlijk en maakt diverse aanvallen mogelijk, waaronder het compromitteren van de integriteit van het systeem.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen bevestigde melding van actieve exploitatie, maar de publicatie van de kwetsbaarheid en de relatieve eenvoud van de exploitatie maken het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de urgentie van de mitigatie onderstreept. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de beschrijving van de kwetsbaarheid maakt het relatief eenvoudig om een dergelijke exploit te ontwikkelen.
Developers and systems administrators who use gitoxide in their workflows are at risk. This includes those involved in CI/CD pipelines, automated build processes, and any environment where Git repositories are cloned from untrusted sources. Shared hosting environments where multiple users have write access to the same Git repository are particularly vulnerable.
• linux / server:
find /path/to/git/working/directory -type f -not -path "*/.git/*" -printf '%f\n' | sort | uniq -c | sort -nr | head -10This command searches for the 10 most frequently created files in the Git working directory, which could indicate malicious file creation. • windows / supply-chain:
Get-ChildItem -Path $env:TEMP -Recurse -File | Sort-Object LastWriteTime -Descending | Select-Object -First 10This PowerShell command lists the 10 most recently modified files in the temporary directory, which could reveal suspicious file activity. • generic web:
curl -I <gitoxide_repository_url> | grep 'Content-Type:'Inspect the Content-Type header of the Git repository URL to ensure it's a valid Git repository and not attempting to serve malicious content.
disclosure
Exploit Status
EPSS
0.43% (63% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar gitoxide versie 0.11.0 of hoger. Indien een upgrade direct niet mogelijk is, is het cruciaal om het klonen van onbetrouwbare Git-repositories te vermijden. Beperk de rechten van de gebruiker die de repository klont, zodat de impact van een succesvolle exploitatie wordt beperkt. Overweeg het implementeren van een WAF (Web Application Firewall) of proxy die ongebruikelijke bestandspaden tijdens het checkout-proces detecteert en blokkeert. Controleer de repository op verdachte bestandsnamen voordat deze wordt gekloned.
Actualice la biblioteca gitoxide a la versión 0.36.0 o superior. Esto corregirá la vulnerabilidad de recorrido de directorio que permite la ejecución de código arbitrario. Asegúrese de actualizar todas las dependencias que utilicen gitoxide para evitar la propagación de la vulnerabilidad.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-35186 is a high-severity vulnerability in gitoxide that allows attackers to write arbitrary files during the checkout process, potentially leading to system compromise.
You are affected if you are using gitoxide versions prior to 0.11.0. Upgrade to the latest version to mitigate the risk.
Upgrade to gitoxide version 0.11.0 or later. This version includes the necessary fixes to prevent arbitrary file writes.
Active exploitation campaigns are not currently confirmed, but the potential for abuse is high due to the vulnerability's severity and ease of exploitation.
Refer to the gitoxide repository on GitHub for the latest information and advisory: [https://github.com/gitoxide/gitoxide](https://github.com/gitoxide/gitoxide)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Cargo.lock-bestand en we vertellen je direct of je getroffen bent.