CRITICAL🇬🇧 English

CVE-2024-3817

HashiCorp go-getter: argument injection przy odkrywaniu zdalnych gałęzi Git

CVSS 9.8v3.1pub. 2024-04-17upd. 2025-12-11

Biblioteka go-getter firmy HashiCorp jest podatna na atak typu argument injection podczas wykonywania operacji Git w celu wykrycia zdalnych gałęzi. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co oznacza możliwość jej wykorzystania zdalnie, bez uwierzytelnienia i bez interakcji użytkownika.

Pokaż oryginał (EN)

HashiCorp’s go-getter library is vulnerable to argument injection when executing Git to discover remote branches. This vulnerability does not affect the go-getter/v2 branch and package.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-88 (argument injection) polega na nieprawidłowej obsłudze danych wejściowych przekazywanych do poleceń Git uruchamianych przez bibliotekę go-getter. Atakujący może wstrzyknąć dodatkowe argumenty do wywołania Git, co pozwala na manipulację jego zachowaniem w sposób niezamierzony przez programistę. Mechanizm ten jest wyzwalany w trakcie procesu odkrywania zdalnych gałęzi repozytorium. Podatność nie dotyczy gałęzi i pakietu go-getter/v2.

Skutki

Skuteczne wykorzystanie podatności może pozwolić atakującemu na nieautoryzowane odczytanie poufnych danych, modyfikację danych lub zakłócenie dostępności systemu — zgodnie z wektorem CVSS wskazującym pełen wpływ na poufność, integralność i dostępność (C:H/I:H/A:H).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://discuss.hashicorp.com/t/hcsec-2024-09-hashicorp-go-getter-vulnerable-to-argument-injection-when-fetching-remote-default-git-branches/66040). Alternatywnie rozważyć migrację do pakietu go-getter/v2, który nie jest podatny na opisaną lukę.

Kogo dotyczy

HashiCorp go-getter (gałąź/pakiet v1). Podatność nie dotyczy go-getter/v2. Szczegółowe informacje o wersjach wskazane są w referencjach producenta.

Uwagi

Podatność nie dotyczy gałęzi i pakietu go-getter/v2 — użytkownicy tej wersji nie są narażeni.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Hashicorp Go Getter

    APP
    Hashicorp
    1.5.9 – 1.7.4 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2022-26945CRITICAL9.8ten sam produkt

go-getter up to 1.5.11 and 2.0.2 allowed protocol switching, endless redirect, and configuration bypass via ab...

CVE-2025-8959HIGH7.5ten sam produkt

HashiCorp's go-getter library subdirectory download feature is vulnerable to symlink attacks leading to unauth...

CVE-2024-6257HIGH8.4ten sam produkt

HashiCorp’s go-getter library can be coerced into executing Git update on an existing maliciously modified Git...

CVE-2022-30321HIGH8.6ten sam produkt

go-getter up to 1.5.11 and 2.0.2 allowed arbitrary host access via go-getter path traversal, symlink processin...

CVE-2022-30322HIGH8.6ten sam produkt

go-getter up to 1.5.11 and 2.0.2 allowed asymmetric resource exhaustion when go-getter processed malicious HTT...

CVE-2024-3817 — HashiCorp go-getter: argument injection przy odkrywaniu zdalnych gałęzi Git — CRITICAL 9.8 | CVEbaza.pl