Vulnerabilidad en Gitlist (CVE-2014-4511)
Gravedad CVSS v2.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/07/2014
Última modificación:
12/04/2025
Descripción
Gitlist anterior a 0.5.0 permite a atacantes remotos ejecutar comandos arbitraros a través de metacaracteres de shell en el nombre de fichero en la URI de una solicitud para una página (1) blame, (2) file o (3) stats, tal y como fue demostrado por solicitudes en blame/master/, master/ y stats/master/.
Impacto
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gitlist:gitlist:*:*:*:*:*:*:*:* | 0.4.0 (incluyendo) | |
| cpe:2.3:a:gitlist:gitlist:0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gitlist:gitlist:0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gitlist:gitlist:0.3:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://hatriot.github.io/blog/2014/06/29/gitlist-rce/
- http://packetstormsecurity.com/files/127281/Gitlist-0.4.0-Remote-Code-Execution.html
- http://packetstormsecurity.com/files/127364/Gitlist-Unauthenticated-Remote-Command-Execution.html
- http://www.exploit-db.com/exploits/33929
- http://www.exploit-db.com/exploits/33990
- https://groups.google.com/forum/#%21topic/gitlist/Hw_KdZfA4js
- http://hatriot.github.io/blog/2014/06/29/gitlist-rce/
- http://packetstormsecurity.com/files/127281/Gitlist-0.4.0-Remote-Code-Execution.html
- http://packetstormsecurity.com/files/127364/Gitlist-Unauthenticated-Remote-Command-Execution.html
- http://www.exploit-db.com/exploits/33929
- http://www.exploit-db.com/exploits/33990
- https://groups.google.com/forum/#%21topic/gitlist/Hw_KdZfA4js