Git-LFS 远程命令执行漏洞 CVE-2020-27955 漏洞复现

昵称还在想呢2024-04-09 10:10

今天遇到了一个比较有意思的洞,复现一下下..........

漏洞描述

Git LFS 是 Github 开发的一个 Git 的扩展,用于实现 Git 对大文件的支持

一些受影响的产品包括Git,GitHub CLI,GitHub Desktop,Visual Studio,GitKraden,SmartGit,Sourcetree等

该漏洞影响仅windows平台

漏洞影响

Git-LFS(git-lfs)<= 2.12

漏洞复现

克隆下面的仓库,如果版本在影响范围则会弹出计算器

复制代码 
clone https://github.com/r00t4dm/CVE-2020-27955

我们需下载git 与git-lfs

Git - Downloading Package

https://github.com/git-lfs/git-lfs/releases/tag/v2.12.0

安装之后执行

git-lfs.exe clone https://github.com/r00t4dm/CVE-2020-27955

相关推荐
汇智信科1 小时前
装备安全仿真系统
安全·汇智信科·装备安全仿真
Dola_Zou1 小时前
工业软件防破解避坑指南:CodeMeter 全流程入门与选型(下)
人工智能·安全·自动化·视觉检测·软件工程
云边云科技_云网融合1 小时前
AI 网关:律所数字化转型的 “安全守门人“ 与 “效率引擎“
人工智能·安全
打码人的日常分享1 小时前
NLP和AI大模型应用方案
运维·人工智能·安全·系统安全·制造
科技道人2 小时前
Launcher allapps界面顶部推荐的app
git·github·launcher·allapps
云水一下2 小时前
平行宇宙的魔法——Git 分支与合并的艺术
git
hz567892 小时前
实时音视频SDK选型指南:TRTC、WebRTC与音视频PaaS能力对比
安全·音视频·webrtc·实时音视频·信息与通信·paas
凡科建站3 小时前
关于Gemini赋能安全工程师:自动写PoC脚本
安全
jiayong233 小时前
harness 与 hermes-agent 扩展性、安全与运维
运维·人工智能·安全·ai·架构·智能体·harness
热门推荐
01GitHub 镜像站点022026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf03【AI】2026 年具身智能模型和世界模型总结04Codex 下载安装指南:Windows 和 macOS 官方版下载05【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法07CC-Switch 下载、安装与使用配置指南【2026.5.29】08CC-Switch & Claude 基于 Linux 服务器安装使用指南09Codex 桌面端更新后 Chrome 插件和 Computer Use 不可用,怎么排查和修复10Codex 接入 DeepSeek API 完整配置文档