Git LFS bis 2.13.1 auf Windows git.exe erweiterte Rechte

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
5.9$0-$5k0.00

Eine Schwachstelle wurde in Git LFS bis 2.13.1 auf Windows (Versioning Software) ausgemacht. Sie wurde als problematisch eingestuft. Dies betrifft eine unbekannte Verarbeitung der Datei git.exe. Dank der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-426. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

Git LFS is a command line extension for managing large files with Git. On Windows, if Git LFS operates on a malicious repository with a git.bat or git.exe file in the current directory, that program would be executed, permitting the attacker to execute arbitrary code. This does not affect Unix systems. This is the result of an incomplete fix for CVE-2020-27955. This issue occurs because on Windows, Go includes (and prefers) the current directory when the name of a command run does not contain a directory separator. Other than avoiding untrusted repositories or using a different operating system, there is no workaround. This is fixed in v2.13.2.

Die Schwachstelle wurde am 16.01.2021 herausgegeben. Das Advisory findet sich auf github.com. Die Verwundbarkeit wird seit dem 22.12.2020 mit der eindeutigen Identifikation CVE-2021-21237 gehandelt. Die Ausnutzbarkeit gilt als schwierig. Umgesetzt werden muss der Angriff lokal. Das Ausnutzen erfordert eine einfache Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.

Ein Aktualisieren auf die Version 2.13.2 vermag dieses Problem zu lösen. Eine neue Version kann von github.com bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen eines Patches lösen. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.

Produktinfoedit

Typ

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 6.1
VulDB Meta Temp Score: 5.9

VulDB Base Score: 4.5
VulDB Temp Score: 4.3
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 7.8
NVD Vector: 🔒

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔒

Exploitinginfoedit

Klasse: Erweiterte Rechte
CWE: CWE-426
ATT&CK: Unbekannt

Lokal: Ja
Remote: Nein

Verfügbarkeit: 🔒
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔒

Upgrade: Git LFS 2.13.2
Patch: github.com

Timelineinfoedit

22.12.2020 CVE zugewiesen
16.01.2021 +25 Tage Advisory veröffentlicht
16.01.2021 +0 Tage VulDB Eintrag erstellt
15.02.2021 +30 Tage VulDB letzte Aktualisierung

Quelleninfoedit

Advisory: github.com
Status: Bestätigt
Bestätigung: 🔒

CVE: CVE-2021-21237 (🔒)

Eintraginfoedit

Erstellt: 16.01.2021 09:19
Aktualisierung: 15.02.2021 01:23
Anpassungen: (19) vulnerability_cvss3_nvd_av vulnerability_cvss3_nvd_ac vulnerability_cvss3_nvd_pr vulnerability_cvss3_nvd_ui vulnerability_cvss3_nvd_s vulnerability_cvss3_nvd_c vulnerability_cvss3_nvd_i vulnerability_cvss3_nvd_a vulnerability_cvss2_nvd_av vulnerability_cvss2_nvd_ac vulnerability_cvss2_nvd_au vulnerability_cvss2_nvd_ci vulnerability_cvss2_nvd_ii vulnerability_cvss2_nvd_ai source_cve_cna vulnerability_cvss3_meta_basescore vulnerability_cvss3_meta_tempscore vulnerability_cvss2_nvd_basescore vulnerability_cvss3_nvd_basescore
Komplett: 🔍

Kommentare

Bisher keine Kommentare. Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Do you need the next level of professionalism?

Upgrade your account now!