Šta se desilo?

Pronađena je kritična ranjivost u SimpleGit paketu koja omogućava napadalcima da izvršavaju proizvoljan kod na ugroženim sistemima. Problem je nastao jer dosadašnja zakrpa nije bila dovoljno sveobuhvatna - blokira jednu vrstu parametra, ali ne sprečava alternativni oblik iste komande.

Koga pogađa?

Programeri i organizacije koje koriste SimpleGit verzije starije od 3.36.0 su izloženi riziku, posebno ako njihova aplikacija procesira korisnički unos koji se prosleđuje SimpleGit modulu. Ugroženi su razvijači aplikacija na Node.js platformi koji ne ažuriraju zavisnosti.

Kako se zaštititi?

  • Ažurirajte SimpleGit paket na verziju 3.36.0 ili noviju što je pre moguće
  • Implementirajte validaciju i sanitizaciju svih korisničkih ulaza pre nego što ih prosleđete SimpleGit-u
  • Ograničite pristup konfiguracionim opcijama samo na pouzdane izvore
  • Koristite sigurnosne menadžere zavisnosti da pratite ažuriranja i ozbiljne probleme
  • Razmotrite korišćenje alternativnih Git biblioteka ako nije moguće brzo ažurirati

Tehnički detalji

Ranjivost je prvobitno bila adresirana kroz CVE-2022-25912, ali je zaobiđena preko ekvivalentnog oblika parametra - umesto opcije -c, napadač može koristiti --config. Eksploatacija uključuje postavljanje protocol.ext.allow=always i korišćenje ext:: klona kao izvora. CVSS skor od 9.8 označava da je ovo kritična ranjivost sa visokim potencijalom za ozbiljnu štetu.

Preporuka Sajber Radara

Ovaj problem zahteva hitnu akciju od strane svih razvojnih timova koji koriste SimpleGit. Preporučujemo neposredno ažuriranje na sigurnu verziju i proveru logova kako bi se detektovao mogući neovlašćeni pristup prije nego što ste svesni problema.