Git Credential Manager Core SQL注入漏洞

CNNVD-ID编号	CNNVD-202012-705
CVE编号	CVE-2020-26233
发布时间	2020-12-08
更新时间	2021-01-22
漏洞类型	SQL注入
漏洞来源	N/A
危险等级	高危
威胁类型	远程
厂商	N/A

漏洞介绍

Git是一套免费、开源的分布式版本控制系统。

Git Credential Manager Core 存在SQL注入漏洞，如果顶级存储库中存在恶意的git.exe可执行文件，则该二进制文件将在尝试读取配置时由Git Credential Manager Core启动，而不是由％PATH％上的git.exe启动。这仅影响Windows上的GCM Core。

漏洞补丁

目前厂商已发布升级了Git Credential Manager Core SQL注入漏洞的补丁，Git Credential Manager Core SQL注入漏洞的补丁获取链接：

https://github.com/microsoft/Git-Credential-Manager-Core/commit/61c0388e064babb3b4e60d3ec269e8a07ab3bc76

参考网址

来源:MISC

链接：https://git-scm.com/docs/git-clone#Documentation/git-clone.txt---recurse-submodulesltpathspecgt
来源:MISC

链接：https://blog.blazeinfosec.com/attack-of-the-clones-2-git-command-client-remote-code-execution-strikes-back/
来源:MISC

链接：https://github.com/microsoft/Git-Credential-Manager-Core/commit/61c0388e064babb3b4e60d3ec269e8a07ab3bc76
来源:MISC

链接：https://github.com/microsoft/Git-Credential-Manager-Core/releases/tag/v2.0.289-beta
来源:CONFIRM

链接：https://github.com/microsoft/Git-Credential-Manager-Core/security/advisories/GHSA-2gq7-ww4j-3m76

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202012-705