Vulnerabilidad en powerline-gitstatus (CVE-2022-42906)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
13/10/2022
Última modificación:
15/05/2025
Descripción
powerline-gitstatus (también se conoce como Powerline Gitstatus) versiones anteriores a 1.3.2, permite la ejecución de código arbitrario. Los repositorios git pueden contener una configuración por repositorio que cambia el comportamiento de git, incluyendo la ejecución de comandos arbitrarios. Cuando es usado powerline-gitstatus, al cambiar a un directorio son ejecutados automáticamente comandos git para mostrar información sobre el repositorio actual en el prompt. Si un atacante puede convencer a un usuario para que cambie su directorio actual a uno controlado por el atacante, como en un sistema de archivos compartido o un archivo extraído, powerline-gitstatus ejecutará comandos arbitrarios bajo el control del atacante. NOTA: esto es similar a CVE-2022-20001
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:powerline_gitstatus_project:powerline_gitstatus:*:*:*:*:*:*:*:* | 1.3.2 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/jaspernbrouwer/powerline-gitstatus/issues/45
- https://github.com/jaspernbrouwer/powerline-gitstatus/releases/tag/v1.3.2
- https://lists.debian.org/debian-lts-announce/2023/01/msg00017.html
- https://github.com/jaspernbrouwer/powerline-gitstatus/issues/45
- https://github.com/jaspernbrouwer/powerline-gitstatus/releases/tag/v1.3.2
- https://lists.debian.org/debian-lts-announce/2023/01/msg00017.html