Múltiples vulnerabilidades en Git
Fecha de publicación 23/05/2024
Identificador
INCIBE-2024-0272
Importancia
5 - Crítica
Recursos Afectados
Todas las versiones de Git anteriores a 2.45.1 en los sistemas Windows, Linux, macOS y BSD.
Descripción
GitHub ha publicado la última actualización para Git (2.45.1) que soluciona 5 vulnerabilidades: una de severidad crítica, 2 altas y 2 bajas. Estas vulnerabilidades podrían permitir la ejecución remota de código y la modificación no autorizada de archivos.
Solución
Actualizar Git a la versión 2.45.1.
Detalle
Las vulnerabilidad crítica (CVE-2024-32002) y altas (CVE-2024-32004 y CVE-2024-32465) se describen a continuación:
- CVE-2024-32002: podría permitir a un atacante que haya creado repositorios dentro de submódulos explotar un fallo en Git y así escribir en los archivos que se encuentran fuera de árbol del submódulo. Esto crea un gancho que ejecuta el código mientras la operación de clonado está ejecutándose sin darle al usuario oportunidad de inspeccionar el código.
- CVE-2024-32004: podría permitir a un atacante crear un repositorio local que parezca como un clonado parcial al que le falta un objeto. Cuando el repositorio se clona provoca que Git ejecute código arbitrario con todos los permisos del usuario que ejecuta el clonado.
- CVE-2024-32465: podría permitir a un atacante saltarse la protección para el clonado de repositorios no fiables.
Para las vulnerabilidades de severidad baja se han asignado los identificadores CVE-2024-32020 y CVE-2024-32021.
Listado de referencias
