CVE-2024-35183
漏洞描述
wolfictl 是用于与 Wolfi 进行交互的命令行工具。在版本 0.16.10 之前存在一个 git 认证问题,允许将本地用户的 GitHub 令牌发送到除 github.com 以外的远程服务器。wolfictl 中大部分依赖 git 的功能都依赖其自己的 git 包,该包包含了实现与 git 仓库交互的集中逻辑。其中一些功能需要进行身份验证才能访问私有仓库。一个名为 GetGitAuth 的中心函数会查找环境变量 GITHUB_TOKEN 中的 GitHub 令牌,并将其作为 HTTP 基本身份验证对象返回,以供与 github.com/go-git/go-git/v5 库一起使用。大多数调用 GetGitAuth 的调用者(直接或间接)只使用令牌对 github.com 进行身份验证;但是,在某些情况下,调用者在不检查远程 git 仓库是否托管在 github.com 上的情况下传递了此身份验证。此行为自提交 0d06e1578300327c212dda26a5ab31d09352b9d0 以来一直以某种形式存在 – 该提交于 2023 年 1 月 25 日。这影响了使用了包含引用不托管在 github.com 上的 git 仓库的 git-checkout 指令步骤的 Melange 配置运行 wolfictl 检查更新命令的任何人。这也影响了在 wolfictl update <url> 中使用了 github.com 之外的远程 URL 的任何人。此外,这些子命令必须在设置了有效的 GitHub 令牌的环境变量 GITHUB_TOKEN 的情况下运行。用户应升级到版本 0.16.10 以获取修补程序。
安全风险CVSS等级评估
| 基础分数 | 风险等级 | 可利用性评分 |
|---|---|---|
| 4.4 | MEDIUM | CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:N |
| 4.4 | MEDIUM | CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:N |
细节文章
CVSS scores for CVE-2024-35183:https://github.com/wolfi-dev/wolfictl/commit/403e93569f46766b4e26e06cf9cd0cae5ee0c2a2
CWE ids for CVE-2024-35183:https://github.com/wolfi-dev/wolfictl/commit/0d06e1578300327c212dda26a5ab31d09352b9d0
References for CVE-2024-35183:https://github.com/wolfi-dev/wolfictl/security/advisories/GHSA-8fg7-hp93-qhvr
Products affected by CVE-2024-35183:https://github.com/wolfi-dev/wolfictl/blob/6d99909f7b1aa23f732d84dad054b02a61f530e6/pkg/git/git.go#L22
暂无评论内容