| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 7.9 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad clasificada como crítica fue encontrada en Eclipse JGit. Está afectada una función desconocida. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase sconosciuta. La vulnerabilidad es identificada como CVE-2023-4759. El ataque puede ser iniciado desde la red. No existe ningún exploit disponible. El mejor modo sugerido para mitigar el problema es actualizar a la última versión.
Detalles
Una vulnerabilidad clasificada como crítica ha sido encontrada en Eclipse JGit. Los efectos exactos de un ataque con éxito no son conocidos. CVE resume:
Sobrescritura Arbitraria de Archivos en Eclipse JGit <= 6.6.0 En Eclipse JGit, todas las versiones <= 6.6.0.202305301015-r, se puede utilizar un enlace simbólico presente en un repositorio git especialmente manipulado para escribir un archivo en ubicaciones fuera del árbol de trabajo cuando esto el repositorio se clona con JGit en un sistema de archivos que no distingue entre mayúsculas y minúsculas, o cuando se realiza una extracción de un clon de dicho repositorio en un sistema de archivos que no distingue entre mayúsculas y minúsculas. Esto puede suceder al finalizar la compra (DirCacheCheckout), fusionar (ResolveMerger a través de su WorkingTreeUpdater), extraer (PullCommand usando merge) y al aplicar un parche (PatchApplier). Esto se puede aprovechar para la ejecución remota de código (RCE), por ejemplo, si el archivo escrito fuera del árbol de trabajo es un filtro git que se ejecuta en un comando git posterior. El problema ocurre solo en sistemas de archivos que no distinguen entre mayúsculas y minúsculas, como los sistemas de archivos predeterminados en Windows y macOS. El usuario que realiza la clonación o el pago debe tener derechos para crear enlaces simbólicos para que ocurra el problema, y ??los enlaces simbólicos deben estar habilitados en la configuración de git. Configurar la opción de configuración de git core.symlinks = false antes de realizar el check-out evita el problema. El problema se solucionó en Eclipse JGit versión 6.6.1.202309021850-r y 6.7.0.202309050840-r, disponibles a través de Maven Central https://repo1.maven.org/maven2/org/eclipse/jgit/ y repo.eclipse.org https: //repo.eclipse.org/content/repositories/jgit-releases/. Los mantenedores de JGit desean agradecer a RyotaK por encontrar e informar este problema.La vulnerabilidad fue publicada el 2023-09-12 con identificación 11 (confirmado). El advisory puede ser descargado de gitlab.eclipse.org. La vulnerabilidad es identificada como CVE-2023-4759. No se conoce los detalles técnicos ni hay ningún exploit disponible.
Una actualización a la versión 6.6.1 elimina esta vulnerabilidad. La actualización se puede descargar de projects.eclipse.org. Aplicando un parche es posible eliminar el problema. El parche puede ser descargado de git.eclipse.org. El mejor modo sugerido para mitigar el problema es Actualización.
Once again VulDB remains the best source for vulnerability data.
Producto
Proveedor
Nombre
Licencia
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 8.0VulDB Puntuación meta temporal: 7.9
VulDB Puntuación base: 6.3
VulDB Puntuación temporal: 6.0
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍
NVD Puntuación base: 8.8
NVD Vector: 🔍
CNA Puntuación base: 8.8
CNA Vector (Eclipse Foundation): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍
Explotación
Clase: Ejecución remota de códigoCWE: CWE-178 / CWE-697
CAPEC: 🔍
ATT&CK: 🔍
Físico: No
Local: No
Remoto: Sí
Disponibilidad: 🔍
Estado: No está definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Predicción de precios: 🔍
Estimación del precio actual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔍
Actualización: JGit 6.6.1
Parche: git.eclipse.org
Línea de tiempo
2023-09-04 🔍2023-09-12 🔍
2023-09-12 🔍
2025-04-22 🔍
Fuentes
Aviso: 11Estado: Confirmado
CVE: CVE-2023-4759 (🔍)
GCVE (CVE): GCVE-0-2023-4759
GCVE (VulDB): GCVE-100-239484
Artículo
Fecha de creación: 2023-09-12 17:48Actualizado: 2025-04-22 01:39
Cambios: 2023-09-12 17:48 (50), 2023-10-10 11:58 (11), 2024-08-08 18:38 (15), 2025-04-22 01:39 (3)
Completo: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.