Vulnerabilidad en gitoxide (CVE-2024-35186)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-23 Limitación incorrecta de nombre de ruta relativa a un directorio restringido (Relative Path Traversal)

Fecha de publicación:

23/05/2024

Última modificación:

24/05/2024

Descripción

gitoxide es una implementación Rust pura de Git. Durante el pago, `gix-worktree-state` no verifica que las rutas apunten a ubicaciones en el árbol de trabajo. Un repositorio especialmente manipulado puede, cuando se clona, colocar archivos nuevos en cualquier lugar donde la aplicación pueda escribirlos. Esta vulnerabilidad provoca una pérdida importante de confidencialidad, integridad y disponibilidad, pero la creación de archivos fuera de un árbol de trabajo sin intentar ejecutar código también puede afectar directamente la integridad. Esta vulnerabilidad ha sido parcheada en las versiones 0.36.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://github.com/Byron/gitoxide/security/advisories/GHSA-7w47-3wg8-547c