Git-LFS 远程命令执行漏洞 CVE-2020-27955 漏洞复现

昵称还在想呢2024-04-09 10:10

今天遇到了一个比较有意思的洞,复现一下下..........

漏洞描述

Git LFS 是 Github 开发的一个 Git 的扩展,用于实现 Git 对大文件的支持

一些受影响的产品包括Git,GitHub CLI,GitHub Desktop,Visual Studio,GitKraden,SmartGit,Sourcetree等

该漏洞影响仅windows平台

漏洞影响

Git-LFS(git-lfs)<= 2.12

漏洞复现

克隆下面的仓库,如果版本在影响范围则会弹出计算器

复制代码 
clone https://github.com/r00t4dm/CVE-2020-27955

我们需下载git 与git-lfs

Git - Downloading Package

https://github.com/git-lfs/git-lfs/releases/tag/v2.12.0

安装之后执行

git-lfs.exe clone https://github.com/r00t4dm/CVE-2020-27955

相关推荐
安全系统学习4 小时前
网络安全之SQL RCE漏洞
安全·web安全·网络安全·渗透测试
GISer_Jing5 小时前
Git协作开发:feature分支、拉取最新并合并
大数据·git·elasticsearch
hanniuniu1311 小时前
AI时代API挑战加剧,API安全厂商F5护航企业数字未来
人工智能·安全
zhulangfly11 小时前
API接口安全-1:身份认证之传统Token VS JWT
安全
高山莫衣11 小时前
git rebase多次触发冲突
大数据·git·elasticsearch
码农藏经阁11 小时前
工作中常用的Git操作命令(一)
git
kobe_OKOK_11 小时前
【团队开发】git 操作流程
git·elasticsearch·团队开发
码农垦荒笔记11 小时前
Git 安装闭坑指南(仅 Windows 环境)
windows·git
时时三省12 小时前
【时时三省】vectorcast使用教程
安全·安全架构
galaxylove13 小时前
Gartner发布最新指南:企业要构建防御性强且敏捷的网络安全计划以平衡安全保障与业务运营
网络·安全·web安全
热门推荐
01手机电脑之间快速传输图片视频文件,不压缩画质、不限制大小的方法!02Coze实战第13讲:飞书多维表格读取+豆包生图模型,轻松批量生成短剧封面03Coze扣子平台完整体验和实践(附国内和国际版对比)04华为昇腾 910B 部署 DeepSeek-R1 蒸馏系列模型详细指南05免费可用!最强AI数字人对口型神器:让照片开口说话唱歌,支持多人对口型+全身动作,1分钟学会!(附保姆级教程)06扣子(coze)实战|我用扣子搭建了一个自动分析小红薯笔记内容的AI应用|详细步骤拆解07Coze(扣子)智能体工作流:自动批量生成书单号视频,1分钟100个,书单号博主都在用!08C#调用WechatOCR.exe实现本地OCR文字识别09DeepSeek各版本说明与优缺点分析10Coze 全方位入门剖析 - 免费打造自己的 AI 超级个体