Plataforma
rust
Componente
gix-worktree-state
Corrigido em
0.36.1
0.11.0
A vulnerabilidade CVE-2024-35186 é uma falha de escrita arbitrária de arquivos descoberta em gix-worktree-state, uma biblioteca Rust para manipulação de repositórios Git. Um repositório malicioso, ao ser clonado, pode criar arquivos em locais não intencionais no sistema, comprometendo a integridade e a segurança. A vulnerabilidade afeta versões anteriores a 0.11.0 e foi corrigida nesta versão.
Um atacante pode explorar esta vulnerabilidade criando um repositório Git especialmente elaborado. Ao clonar este repositório, o atacante pode injetar arquivos em locais arbitrários no sistema de arquivos onde a aplicação tem permissão de escrita. Isso pode levar à execução de código malicioso, roubo de dados confidenciais, ou até mesmo à tomada de controle do sistema. A falta de validação dos caminhos durante o checkout permite que o atacante contorne as verificações de colisão existentes, tornando a exploração mais fácil. A gravidade da vulnerabilidade reside na sua capacidade de permitir a escrita em locais inesperados, potencialmente abrindo portas para ataques mais sofisticados.
A vulnerabilidade foi divulgada em 2024-05-22. Não há informações disponíveis sobre a inclusão em KEV ou a existência de um EPSS score. Atualmente, não há public proof-of-concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade sugere que a exploração pode ser relativamente simples de implementar. É importante monitorar a situação e aplicar as correções o mais rápido possível.
Developers and systems administrators who use gitoxide in their workflows are at risk. This includes those involved in CI/CD pipelines, automated build processes, and any environment where Git repositories are cloned from untrusted sources. Shared hosting environments where multiple users have write access to the same Git repository are particularly vulnerable.
• linux / server:
find /path/to/git/working/directory -type f -not -path "*/.git/*" -printf '%f\n' | sort | uniq -c | sort -nr | head -10This command searches for the 10 most frequently created files in the Git working directory, which could indicate malicious file creation. • windows / supply-chain:
Get-ChildItem -Path $env:TEMP -Recurse -File | Sort-Object LastWriteTime -Descending | Select-Object -First 10This PowerShell command lists the 10 most recently modified files in the temporary directory, which could reveal suspicious file activity. • generic web:
curl -I <gitoxide_repository_url> | grep 'Content-Type:'Inspect the Content-Type header of the Git repository URL to ensure it's a valid Git repository and not attempting to serve malicious content.
disclosure
Status do Exploit
EPSS
0.43% (percentil 63%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-35186 é atualizar para a versão 0.11.0 do gix-worktree-state, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere restringir as permissões de escrita da aplicação para minimizar o impacto potencial. Implementar validação de entrada robusta para todos os caminhos de arquivo processados pela aplicação pode ajudar a prevenir a exploração. Monitore logs de sistema em busca de atividades suspeitas, como a criação de arquivos em locais inesperados. Não há soluções de WAF ou regras de proxy que possam mitigar completamente esta vulnerabilidade, a atualização é essencial.
Actualice la biblioteca gitoxide a la versión 0.36.0 o superior. Esto corregirá la vulnerabilidad de recorrido de directorio que permite la ejecución de código arbitrario. Asegúrese de actualizar todas las dependencias que utilicen gitoxide para evitar la propagación de la vulnerabilidad.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-35186 is a high-severity vulnerability in gitoxide that allows attackers to write arbitrary files during the checkout process, potentially leading to system compromise.
You are affected if you are using gitoxide versions prior to 0.11.0. Upgrade to the latest version to mitigate the risk.
Upgrade to gitoxide version 0.11.0 or later. This version includes the necessary fixes to prevent arbitrary file writes.
Active exploitation campaigns are not currently confirmed, but the potential for abuse is high due to the vulnerability's severity and ease of exploitation.
Refer to the gitoxide repository on GitHub for the latest information and advisory: [https://github.com/gitoxide/gitoxide](https://github.com/gitoxide/gitoxide)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Cargo.lock e descubra na hora se você está afetado.