Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el repositorio de GitHub yarkeev/git-interface (CVE-2022-1440)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
22/04/2022
Última modificación:
04/05/2022

Descripción

Una vulnerabilidad de inyección de comandos en git-interface@2.1.1 en el repositorio de GitHub yarkeev/git-interface versiones anteriores a 2.1.2. Si ambos son proporcionados por la entrada del usuario, entonces el uso de una característica de argumento de línea de comandos "--upload-pack" de git también es compatible con "git clone", lo que permitiría entonces que cualquier comando del sistema operativo sea generado por el atacante

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:git-interface_project:git-interface:*:*:*:*:*:node.js:*:* 2.1.2 (excluyendo)