Vulnerabilidad en Git (CVE-2024-32465)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
14/05/2024
Última modificación:
05/01/2026
Descripción
Git es un sistema de control de revisiones. El proyecto Git recomienda evitar trabajar en repositorios que no sean de confianza y, en su lugar, clonarlos primero con `git clone --no-local` para obtener una copia limpia. Git tiene protecciones específicas para que la operación sea segura incluso con un repositorio de origen que no sea de confianza, pero las vulnerabilidades permiten eludir esas protecciones. En el contexto de la clonación de repositorios locales propiedad de otros usuarios, esta vulnerabilidad se cubrió en CVE-2024-32004. Pero hay circunstancias en las que las correcciones para CVE-2024-32004 no son suficientes: por ejemplo, al obtener un archivo `.zip` que contiene una copia completa de un repositorio Git, no se debe confiar en que sea seguro de forma predeterminada, como por ejemplo Los ganchos podrían configurarse para ejecutarse dentro del contexto de ese repositorio. El problema se solucionó en las versiones 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 y 2.39.4. Como workaround, evite utilizar Git en repositorios que se hayan obtenido a través de archivos de fuentes no confiables.
Impacto
Puntuación base 3.x
7.30
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:git-scm:git:*:*:*:*:*:*:*:* | 2.39.4 (excluyendo) | |
| cpe:2.3:a:git-scm:git:*:*:*:*:*:*:*:* | 2.40.0 (incluyendo) | 2.40.2 (excluyendo) |
| cpe:2.3:a:git-scm:git:*:*:*:*:*:*:*:* | 2.42.0 (incluyendo) | 2.42.2 (excluyendo) |
| cpe:2.3:a:git-scm:git:*:*:*:*:*:*:*:* | 2.43.0 (incluyendo) | 2.43.4 (excluyendo) |
| cpe:2.3:a:git-scm:git:2.41.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:git-scm:git:2.44.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:git-scm:git:2.45.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:40:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2024/05/14/2
- https://git-scm.com/docs/git#_security
- https://git-scm.com/docs/git-clone
- https://github.com/git/git/commit/7b70e9efb18c2cc3f219af399bd384c5801ba1d7
- https://github.com/git/git/security/advisories/GHSA-vm9j-46j9-qvq4
- https://lists.debian.org/debian-lts-announce/2024/06/msg00018.html
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/S4CK4IYTXEOBZTEM5K3T6LWOIZ3S44AR/
- http://www.openwall.com/lists/oss-security/2024/05/14/2
- https://git-scm.com/docs/git#_security
- https://git-scm.com/docs/git-clone
- https://github.com/git/git/commit/7b70e9efb18c2cc3f219af399bd384c5801ba1d7
- https://github.com/git/git/security/advisories/GHSA-vm9j-46j9-qvq4
- https://lists.debian.org/debian-lts-announce/2024/06/msg00018.html
- https://lists.debian.org/debian-lts-announce/2024/09/msg00009.html
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/S4CK4IYTXEOBZTEM5K3T6LWOIZ3S44AR/