Git-LFS 远程命令执行漏洞 CVE-2020-27955 漏洞复现

昵称还在想呢2024-04-09 10:10

今天遇到了一个比较有意思的洞,复现一下下..........

漏洞描述

Git LFS 是 Github 开发的一个 Git 的扩展,用于实现 Git 对大文件的支持

一些受影响的产品包括Git,GitHub CLI,GitHub Desktop,Visual Studio,GitKraden,SmartGit,Sourcetree等

该漏洞影响仅windows平台

漏洞影响

Git-LFS(git-lfs)<= 2.12

漏洞复现

克隆下面的仓库,如果版本在影响范围则会弹出计算器

复制代码 
clone https://github.com/r00t4dm/CVE-2020-27955

我们需下载git 与git-lfs

Git - Downloading Package

https://github.com/git-lfs/git-lfs/releases/tag/v2.12.0

安装之后执行

git-lfs.exe clone https://github.com/r00t4dm/CVE-2020-27955

相关推荐
深海鱼在掘金3 小时前
Git 完全指南 —— 第3章:理解工作区、暂存区、版本库三个核心
git
江华森5 小时前
Git 基础筑基:从原理到团队协作的全栈实战
git
JakeJiang9 小时前
Git 必备命令指南:从日常高频到项目开发实战
git
叫我少年1 天前
Windows 中安装 git
git
冬奇Lab2 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia3115 天前
VPN 与内网穿透
安全
深海鱼在掘金6 天前
Git 完全指南 —— 第1章:Git 概览与版本控制演进
git
Mr_愚人派6 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao7 天前
【无标题】
人工智能·安全
Alsn867 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker
热门推荐
012026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?022026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?03【AI】2026 年具身智能模型和世界模型总结042026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf05Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析06GitHub 镜像站点07【AI总结】2026年6月 主流国内外大模型总结08AI科技热点日报 | 2026年6月1日09AI科技热点日报 | 2026年6月22日10AI一周事件 · 2026-06-03 至 2026-06-09