Biblioteka go-getter firmy HashiCorp jest podatna na atak typu argument injection podczas wykonywania operacji Git w celu wykrycia zdalnych gałęzi. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co oznacza możliwość jej wykorzystania zdalnie, bez uwierzytelnienia i bez interakcji użytkownika.
▸ Pokaż oryginał (EN)
HashiCorp’s go-getter library is vulnerable to argument injection when executing Git to discover remote branches. This vulnerability does not affect the go-getter/v2 branch and package.
Podatność sklasyfikowana jako CWE-88 (argument injection) polega na nieprawidłowej obsłudze danych wejściowych przekazywanych do poleceń Git uruchamianych przez bibliotekę go-getter. Atakujący może wstrzyknąć dodatkowe argumenty do wywołania Git, co pozwala na manipulację jego zachowaniem w sposób niezamierzony przez programistę. Mechanizm ten jest wyzwalany w trakcie procesu odkrywania zdalnych gałęzi repozytorium. Podatność nie dotyczy gałęzi i pakietu go-getter/v2.
Skuteczne wykorzystanie podatności może pozwolić atakującemu na nieautoryzowane odczytanie poufnych danych, modyfikację danych lub zakłócenie dostępności systemu — zgodnie z wektorem CVSS wskazującym pełen wpływ na poufność, integralność i dostępność (C:H/I:H/A:H).
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://discuss.hashicorp.com/t/hcsec-2024-09-hashicorp-go-getter-vulnerable-to-argument-injection-when-fetching-remote-default-git-branches/66040). Alternatywnie rozważyć migrację do pakietu go-getter/v2, który nie jest podatny na opisaną lukę.
HashiCorp go-getter (gałąź/pakiet v1). Podatność nie dotyczy go-getter/v2. Szczegółowe informacje o wersjach wskazane są w referencjach producenta.
Podatność nie dotyczy gałęzi i pakietu go-getter/v2 — użytkownicy tej wersji nie są narażeni.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HHashicorp Go Getter
APPHashicorp1.5.9 – 1.7.4 (bez)
Powiązane podatności
go-getter up to 1.5.11 and 2.0.2 allowed protocol switching, endless redirect, and configuration bypass via ab...
HashiCorp's go-getter library subdirectory download feature is vulnerable to symlink attacks leading to unauth...
HashiCorp’s go-getter library can be coerced into executing Git update on an existing maliciously modified Git...
go-getter up to 1.5.11 and 2.0.2 allowed arbitrary host access via go-getter path traversal, symlink processin...
go-getter up to 1.5.11 and 2.0.2 allowed asymmetric resource exhaustion when go-getter processed malicious HTT...