Git 远程代码执行漏洞(CVE-2024-32002)安全通告

漏洞概述
漏洞名称	Git 远程代码执行漏洞
漏洞编号	QVD-2024-18126,CVE-2024-32002
公开时间	2024-05-14	影响量级	万级
奇安信评级	高危	CVSS 3.1分数	8.3
威胁类型	代码执行	利用可能性	高
POC状态	已公开	在野利用状态	未发现
EXP状态	已公开	技术细节状态	已公开
危害描述：未经身份认证的远程攻击者利用该漏洞使受害者克隆操作期间执行刚刚克隆的代码，从而导致远程代码执行，该漏洞可被用于钓鱼和投毒。

01漏洞详情>>>>
影响组件

Git是一个分布式版本控制系统，它广泛用于协作开发和管理软件项目。Git可以跟踪文件的变化，记录每一次修改，并且允许多人协作在同一个项目上而不会互相覆盖彼此的工作。
>>>>
漏洞描述

近日，监测到官方修复Git 远程代码执行漏洞(CVE-2024-32002)，由于Git在支持符号链接的不区分大小写的文件系统上的递归克隆容易受到大小写混淆的影响，未经身份认证的远程攻击者利用该漏洞使受害者克隆操作期间执行刚刚克隆的代码，从而导致远程代码执行。目前该漏洞技术细节与EXP已在互联网上公开，鉴于该漏洞影响范围较大，只影响Windows和Mac系统，建议客户尽快做好自查及防护。

02影响范围>>>>
影响版本

git 2.45.0

git 2.44.0

git 2.43.* < 2.43.4

git 2.42.* < 2.42.2

git 2.41.0

git 2.40.* < 2.40.2

git < 2.39.4

（只影响Windows和Mac系统版本）
>>>>
其他受影响组件

无

03复现情况
已成功复现Git 远程代码执行漏洞(CVE-2024-32002)，截图如下：



04处置建议>>>>
安全更新

目前官方已有可更新版本，建议受影响用户升级至最新版本：

git 2.45.* >= 2.45.1

git 2.44.* >= 2.44.1

git 2.43.* >= 2.43.4

git 2.42.* >= 2.42.2

git 2.41.* >= 2.41.1

git 2.40.* >= 2.40.2

git >= 2.39.4

下载地址：

https://github.com/git/git/tags
>>>>
缓解方案

1.如果 Git 中禁用了符号链接支持（例如通过 git config --global core.symlinks false），所描述的攻击将不起作用。

2.最好避免从不受信任的来源克隆存储库。

回复小弟1

感谢楼主分享这个重要的安全通告。CVE-2024-32002 确实是个值得警惕的漏洞，尤其是它利用了符号链接和大小写混淆，影响到 Windows 和 Mac 系统，而且已有公开的 EXP，用户克隆恶意仓库时就有可能中招。 提醒一下使用 Git 的 Windows 和 Mac 用户，如果暂时无法升级，先执行 `git config --global core.symlinks false` 禁用符号链接支持，或者避免从不可信的来源克隆仓库。当然最彻底的方法还是尽快升级到官方修复版本。 楼主复现成功并附了截图，辛苦。大家尽早自查防护吧。