Git-LFS 远程命令执行漏洞 CVE-2020-27955 漏洞复现

昵称还在想呢2024-04-09 10:10

今天遇到了一个比较有意思的洞,复现一下下..........

漏洞描述

Git LFS 是 Github 开发的一个 Git 的扩展,用于实现 Git 对大文件的支持

一些受影响的产品包括Git,GitHub CLI,GitHub Desktop,Visual Studio,GitKraden,SmartGit,Sourcetree等

该漏洞影响仅windows平台

漏洞影响

Git-LFS(git-lfs)<= 2.12

漏洞复现

克隆下面的仓库,如果版本在影响范围则会弹出计算器

复制代码 
clone https://github.com/r00t4dm/CVE-2020-27955

我们需下载git 与git-lfs

Git - Downloading Package

https://github.com/git-lfs/git-lfs/releases/tag/v2.12.0

安装之后执行

git-lfs.exe clone https://github.com/r00t4dm/CVE-2020-27955

相关推荐
独行soc1 天前
2025年渗透测试面试题总结-264(题目+回答)
网络·python·安全·web安全·网络安全·渗透测试·安全狮
YangYang9YangYan1 天前
网络安全专业职业能力认证发展路径指南
大数据·人工智能·安全·web安全
小五传输1 天前
常用的文件摆渡系统:让数据安全高效跨越网络界限
大数据·运维·安全
MUTA️1 天前
git传输超过100MB的文件
git
ALex_zry1 天前
Git大型仓库推送失败问题完整解决方案
大数据·git·elasticsearch
李游Leo1 天前
前端安全攻防指南:XSS / CSRF / 点击劫持与常见防护实践(含真实案例拆解)
前端·安全·xss
AI分享猿1 天前
Java后端实战:SpringBoot接口遇异常请求,轻量WAF兼顾安全与性能
java·spring boot·安全
二进制coder1 天前
Git Fork 开发全流程教程
大数据·git·elasticsearch
程序员馨馨1 天前
不扰远程仓库,本地双版本:master 留 A 稿,分支藏 B 稿
git
Mu.3871 天前
计算机网络模型
网络·网络协议·计算机网络·安全·http·https
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连04UV安装并设置国内源05Linux下V2Ray安装配置指南06安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)07“我的电脑”图标没了怎么办 4种方法找回08Gemini 3.0 Pro Preview 实测报告09Labelme从安装到标注:零基础完整指南10全球最强模型Grok4,国内已可免费使用!(附教程)