Vulnerabilidad en .gitmodules (CVE-2017-1000117)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-601
Redireccionamiento de URL a sitio no confiable (Open Redirect)
Fecha de publicación:
05/10/2017
Última modificación:
20/04/2025
Descripción
Un tercero malicioso puede proporcionar una URL "ssh://..." manipulada a una víctima desprevenida y un intento de visita a la URL puede resultar en que se ejecute cualquier programa que exista en la máquina de la víctima. Dicha URL podría colocarse en el archivo .gitmodules de un proyecto malicioso y una víctima desprevenida podría ser engañada para que ejecute "git clone --recurse-submodules" para desencadenar esta vulnerabilidad.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:git-scm:git:*:*:*:*:*:*:*:* | 2.7.5 (incluyendo) | |
| cpe:2.3:a:git-scm:git:2.8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:git-scm:git:2.8.0:rc0:*:*:*:*:*:* | ||
| cpe:2.3:a:git-scm:git:2.8.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:git-scm:git:2.8.0:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:git-scm:git:2.8.0:rc3:*:*:*:*:*:* | ||
| cpe:2.3:a:git-scm:git:2.8.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:git-scm:git:2.8.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:git-scm:git:2.8.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:git-scm:git:2.8.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:git-scm:git:2.8.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:git-scm:git:2.9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:git-scm:git:2.9.0:rc0:*:*:*:*:*:* | ||
| cpe:2.3:a:git-scm:git:2.9.0:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:git-scm:git:2.9.0:rc2:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.debian.org/security/2017/dsa-3934
- http://www.securityfocus.com/bid/100283
- http://www.securitytracker.com/id/1039131
- https://access.redhat.com/errata/RHSA-2017:2484
- https://access.redhat.com/errata/RHSA-2017:2485
- https://access.redhat.com/errata/RHSA-2017:2491
- https://access.redhat.com/errata/RHSA-2017:2674
- https://access.redhat.com/errata/RHSA-2017:2675
- https://security.gentoo.org/glsa/201709-10
- https://support.apple.com/HT208103
- https://www.exploit-db.com/exploits/42599/
- https://www.mail-archive.com/linux-kernel%40vger.kernel.org/msg1466490.html
- http://www.debian.org/security/2017/dsa-3934
- http://www.securityfocus.com/bid/100283
- http://www.securitytracker.com/id/1039131
- https://access.redhat.com/errata/RHSA-2017:2484
- https://access.redhat.com/errata/RHSA-2017:2485
- https://access.redhat.com/errata/RHSA-2017:2491
- https://access.redhat.com/errata/RHSA-2017:2674
- https://access.redhat.com/errata/RHSA-2017:2675
- https://security.gentoo.org/glsa/201709-10
- https://support.apple.com/HT208103
- https://www.exploit-db.com/exploits/42599/
- https://www.mail-archive.com/linux-kernel%40vger.kernel.org/msg1466490.html