Git-LFS 远程命令执行漏洞 CVE-2020-27955 漏洞复现

最新推荐文章于 2025-04-29 15:30:08 发布
最新推荐文章于 2025-04-29 15:30:08 发布
阅读量590 收藏 4
点赞数 8
文章标签: git 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shelter1234567/article/details/137519376
版权
本文介绍了Git LFS漏洞,它是Github开发的Git扩展,用于支持大文件。受影响产品有Git、GitHub CLI等,仅影响Windows平台,受影响版本Git - LFS <= 2.12。还给出了漏洞复现步骤,需下载git与git - lfs并执行克隆仓库操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天遇到了一个比较有意思的洞,复现一下下..........

漏洞描述

Git LFS 是 Github 开发的一个 Git 的扩展,用于实现 Git 对大文件的支持

一些受影响的产品包括Git,GitHub CLI,GitHub Desktop,Visual Studio,GitKraden,SmartGit,Sourcetree等

该漏洞影响仅windows平台

漏洞影响

Git-LFS(git-lfs)<= 2.12

漏洞复现

克隆下面的仓库,如果版本在影响范围则会弹出计算器

clone https://github.com/r00t4dm/CVE-2020-27955

我们需下载git 与git-lfs 

Git - Downloading Package

https://github.com/git-lfs/git-lfs/releases/tag/v2.12.0 

 安装之后执行

git-lfs.exe clone https://github.com/r00t4dm/CVE-2020-27955

最低0.47元/天 解锁文章
GitLab远程代码执行漏洞风险提示(CVE-2022-2185)
qzt961003的博客
07-05 4448
近日, GitLab 官方发布了安全公告,修复了 GitLab 社区版(CE)和企业版(EE)中的一个远程代码执行漏洞CVE-2022-2185),CVSS 评分 9.9,该漏洞源于授权用户可以导入恶意制作的项目导致远程代码执行,成功利用此漏洞的攻击者可获得服务器权限。目前官方已发布安全版本,建议受影响的用户尽快采取安全措施。...
CVE-2020-27955 Git-LFS远程代码执行漏洞复现
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
06-10 1371
0x01 漏洞简介 Git LFSGithub开发的一个Git扩展,用于实现Git对大文件的支持。Windows平台上的Git-LFS版本<= 2.12上发现远程代码执行问题,一旦受害者克隆了恶意存储库并在其系统上运行了易受攻击的Git-LFS版本,就会立即执行有效载荷,漏洞编号为CVE-2020-27955。 0x02 影响版本 Git<=2.29.2、Git-LFS<=2.12,一些受影响的产品包括GitGitHub CLI,GitHub Desktop,Visual Studio
远程 命令/代码 执行(remote command/code execute)漏洞总结
未完成的歌~的博客
08-20 8934
这周来学习下命令执行漏洞命令执行漏洞是用户通过浏览器在远程服务器上执行任意系统命令,与代码执行漏洞没有太大的区别,不过我们在学习时还是要区分不同的概念。关于代码执行漏洞会在下篇博客中详述。 一、什么是命令执行漏洞: 应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数中的参数时...
Git严重漏洞远程执行代码,Mac和Windows通杀!
IT界那些事儿
05-27 8476
不得了了,家人们!就在这几天,Git爆出了一个严重漏洞,编号,一个可以远程执行代码的RCE漏洞!攻击者精心准备一个Git项目,只要你尝试去Clone它,你的电脑就能执行攻击代码沦陷。比如下面这个GitHub上面的项目:你可以执行一下下面的命令:不出意外的话,你的电脑将会弹出计算器程序:能让你弹计算器,就能执行其他更危险的操作,比如给你种木马等等。Git是我们程序员基本离不开的工具,这波漏洞操作,属实是对程序员定向打击了。接下来我们来理一理这个漏洞的工作原理是怎么样的。
GitLab远程代码执行漏洞通告
爱国小白帽
04-16 1293
报告编号:B6-2021-041601 报告来源:360CERT 报告作者:360CERT 更新日期:2021-04-16 1 漏洞简述 2021年04月16日,360CERT监测发现GitLab官方发布了GitLab安全更新,漏洞等级:严重,漏洞评分:9.9。 GitLab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。 对此,360CERT建议广大用户及时将GitLab升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。 2 风险等级
程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞
yunqishequ1的博客
08-14 900
原文地址 近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞。  恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。  该漏洞GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和
Git-lfs RCE exploit CVE-2020-27955-已在Windows上测试过:git,gh cli,GitHub Desktop,Visual Studio,SourceTree等-Linux开发
05-27
Git-lfs远程代码执行(RCE)漏洞CVE-2020-27955(BAT / powershell版本)易受攻击:gitGitHub CLI(gh),GitHub Desktop,Visual Studio Code,SourceTree,SmartGitGitKraken等。由Dawid Golunski发现...
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
weixin_45260839的博客
05-29 1771
CVE-2020-10199 Nexus Repository Manager3远程命令执行漏洞复现
Git LFS RCE漏洞CVE-2020-27955在Windows平台的风险与测试
资源摘要信息:"Git版本控制系统中存在一处远程代码执行(RCE)漏洞,该漏洞CVE编号为CVE-2020-27955。该漏洞被Dawid Golunski发现,并已在Windows系统上经过测试。漏洞影响的软件包括但不限于Git for Windows、...
GIT远程代码执行漏洞修复
hanjingjava的专栏
07-17 550
两个安全漏洞 CVE-2018-11233 和 CVE-2018-11235 恶意攻击者可借此漏洞创建包含特殊 Git 子模块的 Git 仓库 修复方法,尽快升级新版本git: windows 下载安装新版本Git for Windows (version 2.17.1) ,网址 https://gitforwindows.org/. mac brew install git lin...
Git远程命令执行漏洞升级
周奕儒的博客
10-12 528
查看本地git版本,cmd-&gt;git –version https://mp.weixin.qq.com/s/8ccCxij6XI90sfJzvpkDVg登录网址对比版本 3、https://mirrors.edge.kernel.org/pub/software/scm/git/ 下载最新版本(Git v2.19.1, v2.14.5, v2.15.3, v2.16.5, v2....
漏洞预警】Gitlab 曝出远程代码执行漏洞
murphysec的博客
07-01 1087
2022年7月1日,OSCS 监测到 Gitlab 曝出远程代码执行漏洞。该漏洞等级较为严重。GitLab 中授权用户可以导入恶意制作的项目导致远程代码执行,攻击者可利用该漏洞执行任意远程代码,OSCS 建议各位开发者关注漏洞风险。GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git(版本控制系统)项目仓库应用程序,开发者可通过 Web 界面访问公开或私人项目。漏洞评级:严重影响项目:GitLab影响版本:获取 GitLab 版本,判断其版本在 [14.0
ImageMagick远程代码执行漏洞分析
fly小灰灰的专栏
08-12 7884
1. 漏洞描述 漏洞编号: CVE-2016-3714 发现人员: Slack安全工程师Ryan Hube 漏洞简述: 产生原因是因为字符过滤不严谨所导致的执行代码. 对于文件名传递给后端的命令过滤不足,导致允许多种文件格式转换过程中远程执行代码。 影响版本: ImageMagick6.5.7-8 2012-08-17 ImageMagick6.7.7-10 2014-03-06 低版本至6.9
5 个开源 MCP 服务器
盖瑞理的智汇说
04-29 498
MCP 代表模型上下文协议。这是像 Claude 这样的 AI 与自身之外的东西(例如网站或代码笔记本)进行交流的一种方式。没有它,你的 AI 就只能靠猜测。有了它,就像说:“嘿,兄弟,帮我把 GitHub 的内容抓过来”。
autodl(linux)环境下载git-lfs等工具及使用
zjjaibc的博客
04-26 517
【代码】autodl(linux)环境下载git-lfs等工具。
Git入门
深之JohnChen的专栏
04-26 988
Git 是一个分布式版本控制系统,广泛用于软件开发中管理源代码。以下是 Git 的基础使用指南。
Git】连接github时的疑难杂症(DNS解析失败)
m0_74289770的博客
04-25 1082
大家好,我是jstart千语。最近在将项目推送到github的时候,突然github就拒绝访问了,即使挂了VPN,网页也进不去,通过git也不能把代码推送上去。即使后面看别人的一些解决方案,比如取消代理啊、更换ssh的方式、该22端口号为443等等,通通都解决不了。
gitmodule怎么维护
最新发布
dualvencsdn的博客
04-29 88
目录ci-cd脚本豆包文档git submodule init git submodule update cd /var/lib/jenkins/workspace/wvp-server-Dji/wvp-server git checkout Dji2 cd /var/lib/jenkins/workspace/wvp-server-Dji/cloud-sdk git checkout master
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

昵称还在想呢

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值