漏洞通告：Git 远程代码执行漏洞风险提示

文章预览

组件介绍 Git 是一种分布式版本控制系统，用于跟踪文件版本。程序员在合作开发软件时通常用它来控制源代码。Git 维护着整个版本库（又称 repo）的本地副本，具有历史记录和版本跟踪功能，与网络访问或中央服务器无关。每个计算机上的 repo 都存储在一个标准目录中，并带有额外的隐藏文件，以提供版本控制功能。 漏洞描述 近日，持安科技安全运营团队监测到Git官方修复 Git 远程代码执行漏洞 (CVE-2024-32002)，在受漏洞影响的版本中，可以利用 Git 的一个 Bug 制作带有子模块的版本库，从而欺骗 Git，使其不将文件写入子模块的工作树，而是写入".git/"目录。导致后续远程代码执行。如果在 Git 中禁用了符号链接支持（例如通过 git config --global core.symlinks false ），所述攻击将不起作用。 目前该漏洞技术细节与 EXP 已在互联网上公开，鉴于该漏洞影响范 ………………………………