Git для Windows — это порт Git для Windows. До версии 2.53.0(2) можно было получить NTLM-хеш пользователя, обманом заставив его клонировать с вредоносного сервера. Поскольку NTLM-хеширование слабое, злоумышленник может подобрать имя и пароль учетной записи пользователя.
Эта уязвимость исправлена в версии 2.53.0(2).
Показать оригинальное описание (EN)
Git for Windows is the Windows port of Git. Prior to 2.53.0(2), it is possible to obtain a user's NTLM hash by tricking them into cloning from a malicious server. Since NTLM hashing is weak, it is possible for the attacker to brute-force the user's account name and password. This vulnerability is fixed in 2.53.0(2).
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1