Git-LFS 远程命令执行漏洞 CVE-2020-27955 漏洞复现

昵称还在想呢2024-04-09 10:10

今天遇到了一个比较有意思的洞,复现一下下..........

漏洞描述

Git LFS 是 Github 开发的一个 Git 的扩展,用于实现 Git 对大文件的支持

一些受影响的产品包括Git,GitHub CLI,GitHub Desktop,Visual Studio,GitKraden,SmartGit,Sourcetree等

该漏洞影响仅windows平台

漏洞影响

Git-LFS(git-lfs)<= 2.12

漏洞复现

克隆下面的仓库,如果版本在影响范围则会弹出计算器

复制代码 
clone https://github.com/r00t4dm/CVE-2020-27955

我们需下载git 与git-lfs

Git - Downloading Package

https://github.com/git-lfs/git-lfs/releases/tag/v2.12.0

安装之后执行

git-lfs.exe clone https://github.com/r00t4dm/CVE-2020-27955

相关推荐
用户962377954481 小时前
VulnHub DC-3 靶机渗透测试笔记
安全
雮尘5 小时前
让 AI Agent 高效并行开发的命令-git worktree
人工智能·git·agent
叶落阁主1 天前
Tailscale 完全指南:从入门到私有 DERP 部署
运维·安全·远程工作
南果梨1 天前
OpenClaw 完整教程!从安装到使用(官方脚本版)
前端·git·开源
Selicens2 天前
git批量删除本地多余分支
前端·git·后端
用户962377954483 天前
DVWA 靶场实验报告 (High Level)
安全
数据智能老司机3 天前
用于进攻性网络安全的智能体 AI——在 n8n 中构建你的第一个 AI 工作流
人工智能·安全·agent
数据智能老司机3 天前
用于进攻性网络安全的智能体 AI——智能体 AI 入门
人工智能·安全·agent
闲云一鹤3 天前
Git LFS 扫盲教程 - 你不会还在用 Git 管理大文件吧?
前端·git·前端工程化
用户962377954483 天前
DVWA 靶场实验报告 (Medium Level)
安全
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04本地部署 OpenClaw + DeepSeek-R1 完全指南05Window 10部署openclaw报错node.exe : npm error code 12806OpenClaw优化飞书API 额度已耗尽问题07Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services08小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)09让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南10OpenClaw大龙虾机器人完整安装教程