gix 工作树外遍历允许任意代码执行

该漏洞的影响非常严重，攻击者可以利用它在目标系统上创建任意文件，绕过安全机制。攻击者可以通过精心构造的 Git 仓库，将恶意文件放置在目标系统上的任何可写位置，例如系统目录或用户配置文件。这可能导致权限提升、数据泄露、恶意软件安装，甚至完全控制目标系统。由于 gix-worktree-state 被广泛应用于 Git 工具和工作流中，该漏洞的潜在影响范围非常广，可能影响大量用户和组织。该漏洞的利用方式类似于某些文件写入漏洞，但利用 Git 仓库作为载体，增加了攻击的隐蔽性。

Developers and systems administrators who use gitoxide in their workflows are at risk. This includes those involved in CI/CD pipelines, automated build processes, and any environment where Git repositories are cloned from untrusted sources. Shared hosting environments where multiple users have write access to the same Git repository are particularly vulnerable.

• linux / server:

find /path/to/git/working/directory -type f -not -path "*/.git/*" -printf '%f\n' | sort | uniq -c | sort -nr | head -10

This command searches for the 10 most frequently created files in the Git working directory, which could indicate malicious file creation. • windows / supply-chain:

Get-ChildItem -Path $env:TEMP -Recurse -File | Sort-Object LastWriteTime -Descending | Select-Object -First 10

This PowerShell command lists the 10 most recently modified files in the temporary directory, which could reveal suspicious file activity. • generic web:

curl -I <gitoxide_repository_url> | grep 'Content-Type:'

Inspect the Content-Type header of the Git repository URL to ensure it's a valid Git repository and not attempting to serve malicious content.

1. 2024-05-22Disclosure

   disclosure

1. 已保留2024-05-10
2. 发布日期2024-05-22
3. 修改日期2026-02-04
4. EPSS 更新日期2026-04-02

最有效的缓解措施是立即升级到 gix-worktree-state 0.11.0 或更高版本，该版本修复了该漏洞。如果无法立即升级，可以考虑以下临时缓解措施：限制用户克隆来自不受信任来源的仓库，并对仓库内容进行严格的安全审查。此外，可以配置防火墙或安全策略，阻止来自可疑来源的 Git 克隆请求。虽然没有直接的 WAF 规则或 Sigma/YARA 模式可以检测此漏洞，但可以监控 Git 仓库的克隆活动，并对异常行为进行警报。升级后，请验证仓库克隆功能是否正常，确认漏洞已成功修复。