Vulnerabilidad en ruby-git (CVE-2022-47318)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/01/2023
Última modificación:
04/04/2025
Descripción
Las versiones de ruby-git anteriores a v1.13.0 permiten a un atacante remoto autenticado ejecutar un código Ruby arbitrario haciendo que un usuario cargue en el producto un repositorio que contiene un nombre de archivo especialmente manipulado. Esta vulnerabilidad es diferente de CVE-2022-46648.
Impacto
Puntuación base 3.x
8.00
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ruby-git_project:ruby-git:*:*:*:*:*:*:*:* | 1.13.0 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/ruby-git/ruby-git
- https://github.com/ruby-git/ruby-git/pull/602
- https://jvn.jp/en/jp/JVN16765254/index.html
- https://lists.debian.org/debian-lts-announce/2023/01/msg00043.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4KPFLSZPUM7APWVBRM5DCAY5OUVQBF4K/
- https://github.com/ruby-git/ruby-git
- https://github.com/ruby-git/ruby-git/pull/602
- https://jvn.jp/en/jp/JVN16765254/index.html
- https://lists.debian.org/debian-lts-announce/2023/01/msg00043.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/4KPFLSZPUM7APWVBRM5DCAY5OUVQBF4K/