Informazioni sul CVE-2024-35183
wolfictl leaks GitHub tokens to remote non-GitHub git servers
CWE ID: CWE-552
Base Score (CVSS): N/A
CVE: CVE-2024-35183
Descrizione: Wolfi è uno strumento a riga di comando per lavorare con Wolfi. Un problema di autenticazione Git in versioni precedenti a 0.16.10 consente a un utente locale di inviare un token GitHub remoto a server diversi da `github.com`. La maggior parte delle funzionalità Git-dipendenti in wolfictl si basa sul suo pacchetto `git`, che contiene la logica centralizzata per implementare interazioni con i repository Git. Alcune di queste funzionalità richiedono autenticazione per accedere a repository privati. La funzione centrale `GetGitAuth` cerca un token GitHub nell’ambiente variabile `GITHUB_TOKEN` e restituisce un oggetto base autenticazione HTTP da utilizzare con la libreria `github.com/go-git/go-git/v5`. La maggior parte dei chiamanti (diretti o indiretti) di `GetGitAuth` utilizza il token per autenticarsi solo su github.com. Tuttavia, in alcuni casi, i chiamanti hanno passato l’autenticazione senza verificare che il repository Git remoto fosse ospitato su github.com. Questo comportamento esisteva da un commit del 25 gennaio 2023, con commit ID `0d06e1578300327c212dda26a5ab31d09352b9d0`. Questo influisce su chi ha eseguito i comandi `wolfictl check update` con una configurazione Melange che includeva una riga `git-checkout` che si riferiva a un repository non ospitato su github.com. Inoltre, questo influisce su chi ha eseguito `wolfictl update
Vettore di attacco CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:N
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: Low, Interazione utente: Required, Confidenzialità: High, Integrità: None, Disponibilità: None.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | N | None | Nessun impatto sulla disponibilità. |
Riferimenti esterni
- https://github.com/wolfi-dev/wolfictl/security/advisories/GHSA-8fg7-hp93-qhvr
- https://github.com/wolfi-dev/wolfictl/commit/0d06e1578300327c212dda26a5ab31d09352b9d0
- https://github.com/wolfi-dev/wolfictl/commit/403e93569f46766b4e26e06cf9cd0cae5ee0c2a2
- https://github.com/wolfi-dev/wolfictl/blob/488b53823350caa706de3f01ec0eded9350c7da7/pkg/update/update.go#L143
- https://github.com/wolfi-dev/wolfictl/blob/4dd6c95abb4bc0f9306350a8601057bd7a92bded/pkg/update/deps/cleanup.go#L49
- https://github.com/wolfi-dev/wolfictl/blob/6d99909f7b1aa23f732d84dad054b02a61f530e6/pkg/git/git.go#L22
Prodotti interessati
- wolfi-dev – wolfictl
Relazioni con altri prodotti
Produttore:wolfi-dev
Prodotto: wolfictl
Anno: 2024
CWE: CWE-552
CVSS: 0.0