Vulnerabilidad en Sourcetree para macOS (CVE-2017-14592)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
26/01/2018
Última modificación:
11/05/2020
Descripción
Sourcetree para macOS tenía varios errores de inyección de argumentos y comandos en Mercurial y la gestión de repositorios Git. Un atacante con permisos para realizar commits en un repositorio vinculado a Sourcetree para macOS puede explotar este problema para ejecutar código en el sistema. Desde la versión 1.4.0 de Sourcetree para macOS, esta vulnerabilidad puede desencadenarse desde una página web mediante el uso del manipulador de URI de Sourcetree. Las versiones de Sourcetree para macOS desde la 1.0b2 y anteriores a la 2.7.0 se han visto afectadas por esta vulnerabilidad.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:atlassian:sourcetree:*:*:*:*:*:macos:*:* | 1.0 (incluyendo) | 2.7 (excluyendo) |
| cpe:2.3:a:atlassian:sourcetree:1.0:beta2:*:*:*:macos:*:* | ||
| cpe:2.3:a:atlassian:sourcetree:1.0:beta3:*:*:*:macos:*:* | ||
| cpe:2.3:a:atlassian:sourcetree:1.0:beta4:*:*:*:macos:*:* | ||
| cpe:2.3:a:atlassian:sourcetree:1.0:beta5:*:*:*:macos:*:* | ||
| cpe:2.3:a:atlassian:sourcetree:1.0:rc1:*:*:*:macos:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página