Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Git (CVE-2017-14867)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
29/09/2017
Última modificación:
20/04/2025

Descripción

Git en versiones anteriores a la 2.10.5, las versiones 2.11.x anteriores a 2.11.4, las 2.12.x anteriores a2.12.5, las 2.13.x anteriores a 2.13.6 y las 2.14.x anteriores a 2.14.2 emplean scripts de Perl no seguros para dar soporte a subcomandos como cvsserver. Esto permite que los atacantes ejecuten comandos arbitrarios del sistema operativo mediante metacaracteres shell en un nombre de módulo. El código vulnerable puede alcanzarse mediante git-shell incluso sin soporte para CVS.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:git-scm:git:*:*:*:*:*:*:*:* 2.10.4 (incluyendo)
cpe:2.3:a:git-scm:git:2.11.0:*:*:*:*:*:*:*
cpe:2.3:a:git-scm:git:2.11.1:*:*:*:*:*:*:*
cpe:2.3:a:git-scm:git:2.11.2:*:*:*:*:*:*:*
cpe:2.3:a:git-scm:git:2.11.3:*:*:*:*:*:*:*
cpe:2.3:a:git-scm:git:2.12.0:*:*:*:*:*:*:*
cpe:2.3:a:git-scm:git:2.12.1:*:*:*:*:*:*:*
cpe:2.3:a:git-scm:git:2.12.2:*:*:*:*:*:*:*
cpe:2.3:a:git-scm:git:2.12.3:*:*:*:*:*:*:*
cpe:2.3:a:git-scm:git:2.12.4:*:*:*:*:*:*:*
cpe:2.3:a:git-scm:git:2.13.0:*:*:*:*:*:*:*
cpe:2.3:a:git-scm:git:2.13.1:*:*:*:*:*:*:*
cpe:2.3:a:git-scm:git:2.13.2:*:*:*:*:*:*:*
cpe:2.3:a:git-scm:git:2.13.3:*:*:*:*:*:*:*
cpe:2.3:a:git-scm:git:2.13.4:*:*:*:*:*:*:*