一、 漏洞 CVE-2024-51990 基础信息
漏洞标题
jj处理恶意Git仓库存在任意文件读取漏洞
来源:AIGC 神龙大模型
漏洞描述信息
jj(或Jujutsu)是一个用Rust编写的与Git兼容的版本控制系统。在受影响的版本中,特制的Git仓库可以使`jj`将文件写入克隆目录之外的位置。此问题已在版本0.23.0中得到解决。建议用户进行升级。对于无法升级的用户,应避免从未知来源克隆仓库。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
Path traversal via crafted Git repositories in jj
来源:美国国家漏洞数据库 NVD
漏洞描述信息
jj, or Jujutsu, is a Git-compatible VCS written in rust. In affected versions specially crafted Git repositories can cause `jj` to write files outside the clone. This issue has been addressed in version 0.23.0. Users are advised to upgrade. Users unable to upgrade should avoid cloning repos from unknown sources.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
Jujutsu 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Jujutsu是Martin von Zweigbergk个人开发者的一个功能强大的软件项目版本控制系统。 Jujutsu 0.23.0版本之前存在路径遍历漏洞,该漏洞源于在受影响的版本中,特制的Git存储库可能会导致jj在存储库外写入文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-51990 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-51990 的情报信息
-
标题: Path traversal via crafted Git repositories · Advisory · martinvonz/jj · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-51990