一、 漏洞 CVE-2024-41956 基础信息
漏洞标题
Soft Serve通过构造git-lfs请求,允许执行任意代码
来源:AIGC 神龙大模型
漏洞描述信息
软服务(Soft Serve)是一个可自托管的命令行Git服务器。在0.7.5之前,如果一个用户能够向由Soft Serve托管的仓库提交文件,那么通过环境操纵和Git,该用户可以执行任意代码。问题在于,Soft Serve将客户端提供的所有环境变量传递给git子进程。这包括控制程序执行的环境变量,比如LD_PRELOAD。这个问题在0.7.5版本中得到了修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:AIGC 神龙大模型
漏洞标题
Soft Serve allows arbitrary code execution by crafting git-lfs requests
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Soft Serve is a self-hostable Git server for the command line. Prior to 0.7.5, it is possible for a user who can commit files to a repository hosted by Soft Serve to execute arbitrary code via environment manipulation and Git. The issue is that Soft Serve passes all environment variables given by the client to git subprocesses. This includes environment variables that control program execution, such as LD_PRELOAD. This vulnerability is fixed in 0.7.5.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Soft Serve 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Soft Serve是Charm开源的一个可自托管的命令行 Git 服务器。 Soft Serve 0.7.5之前版本存在安全漏洞,该漏洞源于环境变量的不当处理。用户可以在提交文件时通过环境操纵和Git执行任意代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-41956 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-41956 的情报信息