一、 漏洞 CVE-2022-24437 基础信息
漏洞标题
命令注入
来源:AIGC 神龙大模型
漏洞描述信息
在2.0.2之前的git-pull-or-clone软件包由于使用了git支持git clone的--upload-pack特性,因此存在命令注入漏洞。源代码中使用了安全子进程API spawn()。然而,传递给它的outpath参数可能是git clone命令的命令行参数,从而导致任意命令注入。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
Command Injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The package git-pull-or-clone before 2.0.2 are vulnerable to Command Injection due to the use of the --upload-pack feature of git which is also supported for git clone. The source includes the use of the secure child process API spawn(). However, the outpath parameter passed to it may be a command-line argument to the git clone command and result in arbitrary command injection.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
git-pull-or-clone 参数注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
git-pull-or-clone是用于确保磁盘上存在 git 存储库并且它是最新的。 git-pull-or-clone 2.0.2之前版本存在参数注入漏洞,攻击者利用该漏洞可导致任意的命令注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-24437 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2022-24437 的情报信息