Vulnerabilidad en gitoxide (CVE-2025-22620)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

20/01/2025

Última modificación:

20/01/2025

Descripción

gitoxide es una implementación de git escrita en Rust. Antes de la versión 0.17.0, gix-worktree-state especifica permisos 0777 al extraer archivos ejecutables, con la intención de que la máscara de usuario los restrinja de manera adecuada. Pero una de las estrategias que utiliza para establecer permisos no está sujeta a la máscara de usuario. Esto hace que los archivos de un repositorio sean modificables por todo el mundo en algunas situaciones. Esta vulnerabilidad se solucionó en la versión 0.17.0.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.00

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/GitoxideLabs/gitoxide/security/advisories/GHSA-fqmf-w4xh-33rh