Vulnerabilidad en Git LFS (CVE-2024-53263)

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-74 Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)

Fecha de publicación:

14/01/2025

Última modificación:

23/01/2025

Descripción

Git LFS es una extensión de Git para controlar las versiones de archivos grandes. Cuando Git LFS solicita credenciales de Git para un host remoto, pasa partes de la URL del host al comando `git-credential(1)` sin verificar si hay caracteres de control de fin de línea incrustados y luego envía las credenciales que recibe del asistente de credenciales de Git al host remoto. Al insertar caracteres de control codificados en la URL, como caracteres de avance de línea (LF) o retorno de carro (CR), un atacante puede recuperar las credenciales de Git de un usuario. Este problema existe en todas las versiones anteriores y se solucionó en la v3.6.1. Todos los usuarios deben actualizar a la v3.6.1. No se conocen Workarounds en este momento.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.50 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Activo
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

8.50

Gravedad 4.0

ALTA

Vulnerabilidad en Git LFS (CVE-2024-53263)

Descripción

Impacto

Referencias a soluciones, herramientas e información