Vulnerabilidad en Git (CVE-2017-14867)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
29/09/2017
Última modificación:
20/04/2025
Descripción
Git en versiones anteriores a la 2.10.5, las versiones 2.11.x anteriores a 2.11.4, las 2.12.x anteriores a2.12.5, las 2.13.x anteriores a 2.13.6 y las 2.14.x anteriores a 2.14.2 emplean scripts de Perl no seguros para dar soporte a subcomandos como cvsserver. Esto permite que los atacantes ejecuten comandos arbitrarios del sistema operativo mediante metacaracteres shell en un nombre de módulo. El código vulnerable puede alcanzarse mediante git-shell incluso sin soporte para CVS.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:git-scm:git:*:*:*:*:*:*:*:* | 2.10.4 (incluyendo) | |
cpe:2.3:a:git-scm:git:2.11.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:git-scm:git:2.11.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:git-scm:git:2.11.2:*:*:*:*:*:*:* | ||
cpe:2.3:a:git-scm:git:2.11.3:*:*:*:*:*:*:* | ||
cpe:2.3:a:git-scm:git:2.12.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:git-scm:git:2.12.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:git-scm:git:2.12.2:*:*:*:*:*:*:* | ||
cpe:2.3:a:git-scm:git:2.12.3:*:*:*:*:*:*:* | ||
cpe:2.3:a:git-scm:git:2.12.4:*:*:*:*:*:*:* | ||
cpe:2.3:a:git-scm:git:2.13.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:git-scm:git:2.13.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:git-scm:git:2.13.2:*:*:*:*:*:*:* | ||
cpe:2.3:a:git-scm:git:2.13.3:*:*:*:*:*:*:* | ||
cpe:2.3:a:git-scm:git:2.13.4:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2017/09/26/9
- http://www.securityfocus.com/bid/101060
- http://www.securitytracker.com/id/1039431
- https://bugs.debian.org/876854
- https://lists.debian.org/debian-security-announce/2017/msg00246.html
- https://public-inbox.org/git/xmqqy3p29ekj.fsf%40gitster.mtv.corp.google.com/T/#u
- https://www.debian.org/security/2017/dsa-3984
- http://www.openwall.com/lists/oss-security/2017/09/26/9
- http://www.securityfocus.com/bid/101060
- http://www.securitytracker.com/id/1039431
- https://bugs.debian.org/876854
- https://lists.debian.org/debian-security-announce/2017/msg00246.html
- https://public-inbox.org/git/xmqqy3p29ekj.fsf%40gitster.mtv.corp.google.com/T/#u
- https://www.debian.org/security/2017/dsa-3984