Vulnerabilidad en Git (CVE-2023-25652)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
25/04/2023
Última modificación:
26/06/2024
Descripción
Git es un sistema de control de revisiones. Antes de las versiones 2.30.9, 2.31.8, 2.32.7, 2.33.8, 2.34.8, 2.35.8, 2.36.6, 2.37.7, 2.38.5, 2.39.3 y 2.40.1, mediante alimentación entrada especialmente manipulada para `git apply --reject`, una ruta fuera del árbol de trabajo se puede sobrescribir con contenidos parcialmente controlados (correspondientes a los fragmentos rechazados del parche dado). Hay una solución disponible en las versiones 2.30.9, 2.31.8, 2.32.7, 2.33.8, 2.34.8, 2.35.8, 2.36.6, 2.37.7, 2.38.5, 2.39.3 y 2.40.1. Como workaround, evite usar `git apply` con `--reject` cuando aplique parches de una fuente que no sea de confianza. Utilice `git apply --stat` para inspeccionar un parche antes de aplicarlo; evite aplicar uno que cree un conflicto donde exista un enlace correspondiente al archivo `*.rej`.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:git-scm:git:*:*:*:*:*:*:*:* | 2.30.9 (excluyendo) | |
| cpe:2.3:a:git-scm:git:*:*:*:*:*:*:*:* | 2.31.0 (incluyendo) | 2.31.8 (excluyendo) |
| cpe:2.3:a:git-scm:git:*:*:*:*:*:*:*:* | 2.32.0 (incluyendo) | 2.32.7 (excluyendo) |
| cpe:2.3:a:git-scm:git:*:*:*:*:*:*:*:* | 2.33.0 (incluyendo) | 2.33.8 (excluyendo) |
| cpe:2.3:a:git-scm:git:*:*:*:*:*:*:*:* | 2.34.0 (incluyendo) | 2.34.8 (excluyendo) |
| cpe:2.3:a:git-scm:git:*:*:*:*:*:*:*:* | 2.35.0 (incluyendo) | 2.35.8 (excluyendo) |
| cpe:2.3:a:git-scm:git:*:*:*:*:*:*:*:* | 2.36.0 (incluyendo) | 2.36.6 (excluyendo) |
| cpe:2.3:a:git-scm:git:*:*:*:*:*:*:*:* | 2.37.0 (incluyendo) | 2.37.7 (excluyendo) |
| cpe:2.3:a:git-scm:git:*:*:*:*:*:*:*:* | 2.38.0 (incluyendo) | 2.38.5 (excluyendo) |
| cpe:2.3:a:git-scm:git:*:*:*:*:*:*:*:* | 2.39.0 (incluyendo) | 2.39.3 (excluyendo) |
| cpe:2.3:a:git-scm:git:2.40.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2023/04/25/2
- https://github.com/git/git/commit/18e2b1cfc80990719275d7b08e6e50f3e8cbc902
- https://github.com/git/git/commit/668f2d53613ac8fd373926ebe219f2c29112d93e
- https://github.com/git/git/security/advisories/GHSA-2hvf-7c8p-28fx
- https://lists.debian.org/debian-lts-announce/2024/06/msg00018.html
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BSXOGVVBJLYX26IAYX6PJSYQB36BREWH/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PI7FZ4NNR5S5J5K6AMVQBH2JFP6NE4L7/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RKOXOAZ42HLXHXTW6JZI4L5DAIYDTYCU/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YFZWGQKB6MM5MNF2DLFTD7KS2KWPICKL/
- https://security.gentoo.org/glsa/202312-15