ГлавнаяБаза уязвимостей БДУ → BDU:2023-00599
7.2высокая

BDU:2023-00599 (CVE-2023-41953)

Уязвимость функции клонирования репозиториев графического инструмента Git GUI распределенной системы контроля версий Git for Windows, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-02-08
Описание

Уязвимость функции клонирования репозиториев графического инструмента Git GUI распределенной системы контроля версий Git for Windowst связана с использованием ненадёжного пути поиска при проверки орфографии клонированных репозиториев. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код при клонировании ненадежных репозиториев

Затрагиваемое ПО и версии
Microsoft Visual Studio 2022 (17.0)Microsoft Visual Studio 2022 (17.2)Microsoft Visual Studio 2022 (17.4)Git (до 2.39.1)Microsoft Visual Studio 2017 (от 15.0 до 15.8 включительно)Microsoft Visual Studio 2019 (от 16.0 до 16.10 включительно)
Способ устранения

Использование рекомендаций:
Для Git GUI:
https://github.com/git-for-windows/git/commit/7360767e8dfc1895a932324079f7d45d7791d39f
https://github.com/git-for-windows/git/pull/4219
https://github.com/git-for-windows/git/security/advisories/GHSA-v4px-mx59-w99c

Для продуктов Microsoft:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-41953

Компенсирующие меры:
- не использовать Git GUI в Windows при клонировании ненадежных репозиториев.

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://github.com/git-for-windows/git/security/advisories/GHSA-v4px-mx59-w99chttps://github.com/git-for-windows/git/pull/4219https://www.tcl.tk/man/tcl8.6/TclCmd/exec.html#M23https://github.blog/2023-01-17-git-security-vulnerabilities-announced-2/https://www.cybersecurity-help.cz/vdb/SB2023011739https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-41953
Проверьте безопасность своего сайта и почты → Полная проверка домена