Se han reportado vulnerabilidades que afectan a Git, un conocido software de control de versiones distribuidas, que afecta al método de clonación de proyectos mediante archivos «.zip». de proyectos pertenecientes a otros usuarios.
Productos afectados:
- Git versión 2.45.1 y anteriores.
- Git versión 2.44.1 y anteriores.
- Git versión 2.43.4 y anteriores.
- Git versión 2.42.2 y anteriores.
- Git versión 2.41.1 y anteriores.
- Git versión 2.40.2 y anteriores.
- Git versión 2.39.4 y anteriores.
Impacto:
CVE-2024-32004: (CVSSv3 de 8.1, severidad alta), vulnerabilidad que podría permitir a un actor malicioso explotar esta vulnerabilidad para crear un repositorio local que, al ser clonado, ejecute código arbitrario en el sistema del usuario.
CVE-2024-32465: (CVSSv3 de 7.3, severidad alta), vulnerabilidad que podría permitir a un actor malicioso evadir los mecanismos de seguridad de Git cuando se trabaja con archivos «.zip»., que contienen una copia completa de un proyecto. Esto podría permitir la ejecución de código malicioso en los sistemas afectados.
La vulnerabilidad CVE-2024-32004 tiene prueba de concepto (PoC) disponible.
Recomendación:
Se recomienda aplicar la última actualización desde la página oficial del fabricante.
Referencia:
- https://github.com/git/git/security/advisories/GHSA-vm9j-46j9-qvq4
- https://docs.github.com/en/repositories/creating-and-managing-repositories/cloning-a-repository
- https://nvd.nist.gov/vuln/detail/CVE-2024-32465
- https://nvd.nist.gov/vuln/detail/CVE-2024-32004