Git-LFS 远程命令执行漏洞 CVE-2020-27955 漏洞复现

昵称还在想呢2024-04-09 10:10

今天遇到了一个比较有意思的洞,复现一下下..........

漏洞描述

Git LFS 是 Github 开发的一个 Git 的扩展,用于实现 Git 对大文件的支持

一些受影响的产品包括Git,GitHub CLI,GitHub Desktop,Visual Studio,GitKraden,SmartGit,Sourcetree等

该漏洞影响仅windows平台

漏洞影响

Git-LFS(git-lfs)<= 2.12

漏洞复现

克隆下面的仓库,如果版本在影响范围则会弹出计算器

复制代码 
clone https://github.com/r00t4dm/CVE-2020-27955

我们需下载git 与git-lfs

Git - Downloading Package

https://github.com/git-lfs/git-lfs/releases/tag/v2.12.0

安装之后执行

git-lfs.exe clone https://github.com/r00t4dm/CVE-2020-27955

相关推荐
唐僧洗头爱飘柔952721 分钟前
【软考:程序员(03)】如何考得程序员证书?本片知识点:文件目录、目录结构、文件路径、文件命名规则、系统安全、用户权限、作业调度、用户界面
安全·系统安全·文件管理·用户界面·用户权限·作业调度算法·文件命名规则
yesyesyoucan1 小时前
安全工具集:一站式密码生成、文件加密与二维码生成解决方案
服务器·mysql·安全
Mr_Dwj10 小时前
【工具】Git 子仓库管理
git
cdprinter11 小时前
信刻光盘数据自动回读系统,多重保障数据安全及调阅便捷性!
网络·安全·自动化
金士镧(厦门)新材料有限公司12 小时前
稀土化合物:推动科技发展的“隐形力量”
人工智能·科技·安全·全文检索·生活·能源
智驱力人工智能14 小时前
从人海战术到智能巡逻 城市街道违规占道AI识别系统的实践与思考 占道经营检测系统价格 占道经营AI预警系统
人工智能·安全·yolo·目标检测·无人机·边缘计算
网硕互联的小客服15 小时前
Centos系统如何更改root账户用户名?需要注意什么?
linux·运维·服务器·数据库·安全
xixixi7777716 小时前
STIX/TAXII:网络威胁情报的“普通话”与“顺丰快递”
开发语言·安全·php·威胁·攻击检测·stix·taxii
网硕互联的小客服16 小时前
遇到网站500内部服务器错误如何处理?如何预防这样的问题发生?
运维·服务器·安全
emma羊羊16 小时前
【Yakit渗透利器】
安全·web安全
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03Linux下V2Ray安装配置指南04BongoCat - 跨平台键盘猫动画工具05在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)06安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)07sqli-labs靶场通关笔记:第18-19关 HTTP头部注入08jdk21下载、安装(Windows、Linux、macOS)09RedissonClient的配置解析10Open-AutoGLM Windows 安装部署教程