漏洞标题
在Windows的某些条件下,未授权的搜索路径允许任意代码执行
漏洞描述信息
GitPython 是一个用于与 Git 存储库交互的 Python 库。CVE-2023-40590 的一个不完整修复已发布。在 Windows 上,如果 GitPython 使用一个shell运行 `git`,以及在运行 `bash.exe` 解释钩子时运行,它将使用一个未受信任的路径搜索。如果在 Windows 上使用任何一个功能,来自未受信任的存储库的恶意 `git.exe` 或 `bash.exe` 可能会被运行。这个问题已在版本 3.1.41 中修复。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
不可信的搜索路径
漏洞标题
Untrusted search path under some conditions on Windows allows arbitrary code execution
漏洞描述信息
GitPython is a python library used to interact with Git repositories. There is an incomplete fix for CVE-2023-40590. On Windows, GitPython uses an untrusted search path if it uses a shell to run `git`, as well as when it runs `bash.exe` to interpret hooks. If either of those features are used on Windows, a malicious `git.exe` or `bash.exe` may be run from an untrusted repository. This issue has been patched in version 3.1.41.
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
不可信的搜索路径
漏洞标题
GitPython 代码问题漏洞
漏洞描述信息
GitPython是gitpython-developers开源的一个用于与 Git 存储库交互的 Python 库。 GitPython 3.1.40及之前版本存在代码问题漏洞,该漏洞源于允许攻击者通过不受信任的搜索路径执行任意代码。
CVSS信息
N/A
漏洞类别
代码问题