GitHub ha publicado una actualización para Git que corrige varias vulnerabilidades, una de severidad crítica y 2 de severidad alta.
Productos afectados:
-Git versiones anteriores a la 2.45.1
Impacto de la vulnerabilidad:
-CVE-2024-32002(CVSSv3 9.0): vulnerabilidad que podría permitir a un actor malicioso que haya creado repositorios dentro de submódulos, explotar una vulnerabilidad en Git y así escribir en los archivos que se encuentran fuera de árbol del submódulo. Esto crea un gancho que ejecuta el código mientras la operación de clonado está ejecutándose sin darle al usuario oportunidad de inspeccionar el código.
-CVE-2024-32004 (CVSS v3 8.1): podría permitir a un actor malicioso crear un repositorio local que parezca como un clonado parcial al que le falta un objeto. Cuando el repositorio se clona provoca que Git ejecute código arbitrario con todos los permisos del usuario que ejecuta el clonado.
-CVE-2024-32465 (CVSSv3 7.3): vulnerabilidad que podría permitir a un actor malicioso evadir la protección para el clonado de repositorios no fiables.
Recomendación:
Se recomienda actualizar a la ultima versión disponible del producto desde la pagina oficial.
Referencia:
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-git
- https://nvd.nist.gov/vuln/detail/CVE-2024-32002
- https://nvd.nist.gov/vuln/detail/CVE-2024-32465
- https://nvd.nist.gov/vuln/detail/CVE-2024-32004