Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en gitoxide (CVE-2024-35186)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-23 Limitación incorrecta de nombre de ruta relativa a un directorio restringido (Relative Path Traversal)
Fecha de publicación:
23/05/2024
Última modificación:
24/05/2024

Descripción

gitoxide es una implementación Rust pura de Git. Durante el pago, `gix-worktree-state` no verifica que las rutas apunten a ubicaciones en el árbol de trabajo. Un repositorio especialmente manipulado puede, cuando se clona, colocar archivos nuevos en cualquier lugar donde la aplicación pueda escribirlos. Esta vulnerabilidad provoca una pérdida importante de confidencialidad, integridad y disponibilidad, pero la creación de archivos fuera de un árbol de trabajo sin intentar ejecutar código también puede afectar directamente la integridad. Esta vulnerabilidad ha sido parcheada en las versiones 0.36.0.

Referencias a soluciones, herramientas e información