正在跳转...

Git曝出一个严重RCE（远程代码执行）漏洞

haohang 2024-05-21 0 评论 4 阅读

漏洞编号：QVD-2024-18126,CVE-2024-32002
影响范围：Windows 和 MacOS
受影响的版本

小于 Git 2.39.4	Git 2.41.0	Git 2.43.0 — Git 2.43.4	Git 2.42.0 — Git 2.42.2
Git 2.40.0 — Git 2.40.2	Git 2.44.0	Git 2.45.0

建议大家赶紧去敲一下 git --version 看看自己的版本在不在上面。

攻击者只需要准备一个Git项目然后引导你去克隆它你的电脑就会自动执行攻击代码就比如下面这个GitHub上的项目；你只要执行 git clone --recursive git@github.com:amalmurali47/git_rce.git 不出意外的话你的电脑就会跳出计算器

amalmurali47/git_rce: Exploit PoC for CVE-2024-32002 (github.com)

原创

Git曝出一个严重RCE（远程代码执行）漏洞

本文链接： Git曝出一个严重RCE（远程代码执行）漏洞

本文采用 CC BY-NC-SA 4.0 许可协议，转载请注明出处。

评论交流

欢迎留下你的想法

# 隐私政策本站非常重视用户的隐私和个人信息保护。你在使用网站时，可能会收集和使用你的相关信息。通过《隐私政策》向你说明你在访问 **https://www.shimmerl.top** 网站时，如何收集、使用、保存、共享和转让这些信息。 ## 一、在访问时如何收集和使用你的个人信息 #### 在访问时，收集访问信息的服务会收集不限于以下信息： * 网络身份标识信息（浏览器UA、IP地址） * 设备信息 * 浏览过程（访问入口、浏览方式与时长、网络加载情况） #### 在访问时，本站内置的第三方服务会通过以下或更多途径，来获取你的以下或更多信息 * **Artalk** 评论工具会收集你的评论消息，邮箱，域名。(应工具只有您留言的时候才会运行) * **Microsoft Clarity**应用监控平台会收集你的访问操作过程和资源加载情况 * **百度统计**工具会收集你的访问信息、访问页面 * **51la统计**工具会收集你的访问信息、访问页面 * **Tianlicdn**会收集你的访问信息 * **busuanzi统计**会收集你的访问信息 * **腾讯云**会收集你的访问信息 * **腾讯Codesign**会收集你的访问信息 * **阿里cdn**（iconfont）会收集你的访问信息 * **网易云音乐**会收集你的访问信息 #### 在访问本站时，仅以下目的会使用你的个人信息： * 用于网站的优化与文章分类，用户优化文章 * 恶意访问识别，用于维护网站 * 恶意攻击排查，用于维护网站 * 网站点击情况监测，用于优化网站页面 * 网站加载情况监测，用于优化网站性能 * 用于网站搜索结果优化 * 浏览数据的展示 #### 第三方信息获取方将您的数据用于以下用途第三方可能会用于其他目的，详情请访问对应第三方服务提供的隐私协议。 #### 你应该知道在你访问的时候不限于以下信息会被第三方获取并使用第三方部分为了抵抗攻击、使用不同节点cdn加速等需求会收集不限于以下信息。 | 类型 | | ------------------ | | 网络信息 | | IP地址 | | 国家 | | 省份-城市-地区 | | 运营商 | | **设备信息** | | 操作系统 | | 浏览器 | ## 二、在评论时如何收集和使用你的个人信息评论使用的是无登陆系统的匿名评论系统，你可以自愿填写真实的、或者虚假的信息作为你评论的展示信息。 **鼓励你使用不易被人恶意识别的昵称进行评论** ，但是建议你填写 **真实的邮箱** 以便收到回复（邮箱信息不会被公开）。在你评论时，会额外收集你的个人信息。 **在评论时，本站内置的第三方服务会通过以下或更多途径，来获取你的相关信息：** **cravatar** 会收集你的访问信息、评论填写的个人信息用于展示头像 ##### 在访问时，本人仅会处于以下目的，收集并使用以下信息： * 评论时会记录你的QQ帐号（如果在邮箱位置填写QQ邮箱或QQ号），方便获取你的QQ头像。如果使用QQ邮箱但不想展示QQ头像，可以填写不含QQ号的QQ邮箱。（主动，存储） * 评论时会记录你的邮箱，当我回复后会通过邮件通知你（主动，存储，不会公开邮箱） * 评论时会记录你的网址，用于点击头像时快速进入你的网站（主动，存储） * 评论时会记录你的IP地址，作为反垃圾的用户判别依据（被动，存储，不会公开IP，会公开IP所在城市） * 评论会记录你的浏览器代理，用作展示系统版本、浏览器版本方便展示你使用的设备，快速定位问题（被动，存储） ## 三、如何使用-Cookies-和本地-LocalStorage-存储本站为实现无账号评论、深色模式切换，不蒜子的uv统计等功能，会在你的浏览器中进行本地存储，你可以随时清除浏览器中保存的所有 Cookies 以及 LocalStorage，不影响你的正常使用。本博客中的以下业务会在你的计算机上主动存储数据： | 内置服务 | **第三方服务** | | ---------- | -------------------- | | 评论系统 | 百度统计 | | 即刻短文 | 头条搜索 | | 鱼塘 | busuanzi统计 | | 中控台 | Google统计 | | 无障碍服务 | Google广告 | | 胶囊音乐 | | | 帧率显示 | | 关于如何使用你的Cookies，请访问[Cookies政策](https://www.shimmerl.top/cookies)。关于如何在 [Chrome 中清除、启用和管理 Cookie](https://support.google.com/chrome/answer/95647?co=GENIE.Platform=Desktop&hl=zh-Hans) ## 四、如何共享、转让你的个人信息本人不会与任何公司、组织和个人共享你的隐私信息本人不会将你的个人信息转让给任何公司、组织和个人第三方服务的共享、转让情况详见对应服务的隐私协议 ## 五、附属协议当监测到存在恶意访问、恶意请求、恶意攻击、恶意评论的行为时，为了防止增大受害范围，可能会临时将你的ip地址及访问信息短期内添加到黑名单，短期内禁止访问。此黑名单可能被公开，并共享给其他站点（主体并非本人）使用，包括但不限于：IP地址、设备信息、地理位置。