Vulnerabilidad en gitoxide (CVE-2024-35197)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

23/05/2024

Última modificación:

24/05/2024

Descripción

gitoxide es una implementación Rust pura de Git. En Windows, al buscar referencias que chocan con nombres de dispositivos heredados se leen desde los dispositivos y al verificar rutas que chocan con dichos nombres se escriben datos arbitrarios en los dispositivos. Esto permite que un repositorio, cuando se clona, provoque un bloqueo indefinido o la producción de mensajes arbitrarios que parecen provenir de la aplicación, y potencialmente otros efectos dañinos en circunstancias limitadas. Si no se utiliza Windows, o los repositorios que no son de confianza no se clonan ni se utilizan de otro modo, no hay ningún impacto. También es posible que se produzca una degradación menor de la disponibilidad, como en el caso de un archivo muy grande llamado "CON", aunque el usuario podría interrumpir la aplicación.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

5.40

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/Byron/gitoxide/security/advisories/GHSA-49jc-r788-3fc9