一、 漏洞 CVE-2025-22620 基础信息
漏洞标题
gix-worktree-state非独占签出设置可执行文件为全球可写
来源:AIGC 神龙大模型
漏洞描述信息
gitoxide 是一个用 Rust 编写的 git 实现。在 0.17.0 版本之前,gix-worktree-state 在检出可执行文件时指定 0777 权限,意图是通过 umask 来适当限制这些权限。但是,它所使用的一种设置权限的策略不受 umask 的影响。这导致在某些情况下,仓库中的文件会是世界可写的。此漏洞在 0.17.0 版本中已修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
缺省权限不正确
来源:AIGC 神龙大模型
漏洞标题
gix-worktree-state nonexclusive checkout sets executable files world-writable
来源:美国国家漏洞数据库 NVD
漏洞描述信息
gitoxide is an implementation of git written in Rust. Prior to 0.17.0, gix-worktree-state specifies 0777 permissions when checking out executable files, intending that the umask will restrict them appropriately. But one of the strategies it uses to set permissions is not subject to the umask. This causes files in a repository to be world-writable in some situations. This vulnerability is fixed in 0.17.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
权限预留不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
gitoxide 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
gitoxide是Sebastian Thiel个人开发者的一个用 Rust 编写的 git 实现。 gitoxide 0.17.0之前版本存在安全漏洞,该漏洞源于存储库中的文件在某些情况下是全球可写的。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-22620 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Reproducer for CVE-2025-22620 | https://github.com/EliahKagan/checkout-index | POC详情 |
三、漏洞 CVE-2025-22620 的情报信息
-
标题: gix-worktree-state nonexclusive checkout sets executable files world-writable · Advisory · GitoxideLabs/gitoxide · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
- https://nvd.nist.gov/vuln/detail/CVE-2025-22620