Vulnerabilidad en un repositorio con enlaces simbólicos en Cygwin Git (CVE-2021-29468)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-20 Validación incorrecta de entrada

Fecha de publicación:

29/04/2021

Última modificación:

07/11/2023

Descripción

Cygwin Git es un conjunto de parches para la herramienta de línea de comandos git para el entorno cygwin.&#xa0;Un repositorio especialmente diseñado que contiene enlaces simbólicos, así como archivos con caracteres de backslash en el nombre del archivo, puede hacer que se ejecute el código recién extraído al comprobar un repositorio usando Git en Cygwin.&#xa0;El problema se parcheará en Cygwin Git versión v2.31.1-2.&#xa0;En el momento de escribir este artículo, la vulnerabilidad está presente aguas arriba del código fuente de Git;&#xa0;Cualquier usuario de Cygwin que compile Git por sí mismo desde fuentes ascendentes debe aplicar manualmente un parche para mitigar la vulnerabilidad.&#xa0;Como mitigación, los usuarios no deben clonar ni extraer de repositorios de fuentes que no sean confiables.&#xa0;CVE-2019-1354 era una vulnerabilidad equivalente en Git para Visual Studio.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico