ГлавнаяБаза уязвимостей БДУ → BDU:2017-02230
10критическая

BDU:2017-02230

Уязвимость визуального Git-клиента SourceTree, существующая из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы, позволяющая нарушителю выполнить произвольную команду
Опубликовано: 2017-10-11
Описание

Уязвимость визуального Git-клиента SourceTree существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольную команду с помощью подстройки URL-адреса (sourcetree://cloneRepo/ext:: или sourcetree://checkoutRef/ext::)

Затрагиваемое ПО и версии
SourceTree (до v2.5c включительно)
Способ устранения

До выпуска разработчиками обновления с исправлением уязвимости, временным решением является использование сторонних средств защиты или ограничение доступа к устройству

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://openwall.com/lists/oss-security/2017/05/03/5http://seclists.org/fulldisclosure/2017/May/10http://www.securityfocus.com/bid/98329https://www.youtube.com/watch?v=SQ1_Ht-0Bdo
Проверьте безопасность своего сайта и почты → Полная проверка домена