Я провел OW ASP Проверка зависимостей и обнаружил несколько уязвимостей в пакете nuget LibGit2Sharp. Вот они:
1) CVE-2014-9938 contrib / complete / git -propt. sh в Git до 1.9.3 не очищает имена ветвей в переменной PS1, что позволяет вредоносному репозиторию вызывать выполнение кода. CWE-116 Неправильное кодирование или экранирование вывода
2) CVE-2015-7082
Многочисленные неуказанные уязвимости в Git до 2.5.4, используемые в Apple Xcode до 7.2, неизвестны векторы удара и атаки. ПРИМЕЧАНИЕ: этот CVE связан только с вариантами использования Xcode.
3) CVE-2015-7545
(1) git -remote-ext и (2) неуказанный другой удаленный помощник программы в Git до 2.3.10, 2.4.x до 2.4.10, 2.5.x до 2.5.4 и 2.6.x до 2.6.1 неправильно ограничивают разрешенные протоколы, что может позволить удаленным злоумышленникам выполнять произвольные код через URL в (a) .gitmodules файле или (b) неизвестных других источниках в подмодуле. CWE-20 Неправильная проверка ввода, CWE-284 Неправильный контроль доступа
Я изучил обновления безопасности LibGit2Sharp, но не смог найти, были ли они исправлены в последнем пакете. Я новичок в этом домене безопасности, поэтому не могу определить, относятся ли эти проблемы к нашему проекту. И если они уже были разрешены или нет.
Я также изучил обновления безопасности библиотеки LibGit2, так как поверх нее построен LibGit2Sharp. Но я не смог найти ничего, связанного с этими уязвимостями.
Может ли кто-нибудь пролить свет на этот счет?