Linux Distros 未修补的漏洞:CVE-2023-40590
high Nessus 插件 ID 251563
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- GitPython 是用于与 Git 存储库交互的 Python 库。解析程序时Python/Windows 会查找当前工作目录然后查找 PATH 环境。GitPython 默认使用“git”命令如果用户从具有“git.exe”或“git”可执行文件的存储库运行 GitPython则将运行该程序而不是用户“PATH”中的程序。这更多的是关于 Python 与 Windows 系统交互方式的问题Linux 和任何其他 OS 不受此影响。但可能使用 GitPython 的用户通常会从存储库的 CWD 中运行它。攻击者可诱骗用户下载含有恶意“git”可执行文件的存储库如果用户从该目录运行/导入 GitPython则会允许攻击者运行任意命令。当前没有可供 Windows 用户使用的补丁但是存在一些缓解措施。 1默认为 git 程序在 Windows 上的绝对路径,如“C:\Program Files\Git\cmd\git.EXE”(默认 git 路径安装)。 2要求用户在 Windows 系统上设置“GIT_PYTHON_GIT_EXECUTABLE”环境变量。 3:在文档中突出显示此问题,并建议用户永远不要从不受信任的 repo 运行 GitPython,或将 `GIT_PYTHON_GIT_EXECUTABLE` env var 设置为绝对路径。 4通过仅查看“PATH”环境变量来手动解析可执行文件。 (CVE-2023-40590)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: High
ID: 251563
文件名: unpatched_CVE_2023_40590.nasl
版本: 1.1
类型: local
代理: unix
系列: Misc.
发布时间: 2025/8/18
最近更新时间: 2025/8/18
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Medium
基本分数: 4.6
时间分数: 3.6
矢量: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2023-40590
CVSS v3
风险因素: High
基本分数: 7.8
时间分数: 7
矢量: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:canonical:ubuntu_linux:python-git, cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:14.04:-:lts, cpe:/o:canonical:ubuntu_linux:20.04:-:lts
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
可利用: true
易利用性: Exploits are available
漏洞发布日期: 2023/8/28
参考资料信息
CVE: CVE-2023-40590