Jgit
Уязвимости
3
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.63178
Распределение по критичности
Критический
1
Высокий
1
Средний
1
Низкий
0
Затронутые диапазоны версий
< 3.4.2< 5.13.3.202401111512-r< 5.13.4
Также сопоставлено как (исходные строки): jgit,egit,libgit2
Топ уязвимостей
CVE-2014-9390Git до версий 1.8.5.6, 1.9.x до 1.9.5, 2.0.x до 2.0.5, 2.1.x до 2.1.4 и 2.2.x до 2.2.1 в Windows и OS X; Mercurial до версии 3.2.3 в Windows и OS X; Apple Xcode до версии 6.2 beta 3; mine всех версий до 08-12-2014; libgit2 всех версий до 0.21.2; Egit всех версий до 08-12-2014; и JGit всех версий до 08-12-2014 позволяют удаленным серверам Git выполнять произвольные команды через дерево, содержащее специально созданный файл .git/config с (1) игнорируемой кодовой точкой Unicode, (2) представлением git~1/config или (3) смешанным регистром, который неправильно обрабатывается в файловой системе, нечувствительной к регистру.
CVE-2023-4759Произвольная перезапись файлов в Eclipse JGit <= 6.6.0.
В Eclipse JGit, во всех версиях <= 6.6.0.202305301015-r, символическая ссылка, присутствующая в специально созданном git-репозитории, может быть использована для записи файла в места за пределами рабочего дерева, когда этот репозиторий клонируется с помощью JGit в файловую систему, нечувствительную к регистру, или когда выполняется checkout из клона такого репозитория в файловой системе, нечувствительной к регистру.
Это может произойти при checkout (DirCacheCheckout), merge (ResolveMerger через WorkingTreeUpdater), pull (PullCommand с использованием merge) и при применении патча (PatchApplier). Это может быть использовано для удаленного выполнения кода (RCE), например, если файл, записанный за пределами рабочего дерева, является git-фильтром, который выполняется при последующей git-команде.
Проблема возникает только в файловых системах, нечувствительных к регистру, таких как файловые системы по умолчанию в Windows и macOS. Пользователь, выполняющий clone или checkout, должен иметь права на создание символических ссылок, чтобы проблема возникла, и символические ссылки должны быть включены в конфигурации git.
Установка параметра конфигурации git core.symlinks = false перед checkout позволяет избежать проблемы.
Проблема была исправлена в Eclipse JGit версии 6.6.1.202309021850-r и 6.7.0.202309050840-r, доступных через Maven Central https://repo1.maven.org/maven2/org/eclipse/jgit/ и repo.eclipse.org https://repo.eclipse.org/content/repositories/jgit-releases/ . Бэкпорт доступен в 5.13.3 начиная с 5.13.3.202401111512-r.
Сопровождающие JGit благодарят RyotaK за обнаружение и сообщение об этой проблеме.
CVE-2025-4949В версиях Eclipse JGit до 7.2.0.202503040940-r классы ManifestParser и AmazonS3 уязвимы к атакам XXE при разборе XML-файлов. Это может привести к раскрытию информации, отказу в обслуживании и другим проблемам безопасности. Уязвимость присутствует в классах ManifestParser и AmazonS3, которые используют SAXParser для разбора XML-файлов без надлежащей настройки для отключения обработки внешних сущностей. Исправление включает в себя настройку XMLReader для отключения внешних сущностей [1].
Источники:
- [1] https://projects.eclipse.org/projects/technology.jgit/releases/7.2.1
- [2] https://gitlab.eclipse.org/security/vulnerability-reports/-/issues/281
- [3] https://gitlab.eclipse.org/security/cve-assignement/-/issues/64