TortoiseSVN远程代码执行漏洞安全通告
发布时间 2019-08-15• 漏洞编号和级别
CVE编号:CVE-2019-14422,危险级别:高危,CVSS分值:厂商自评:8.8,官方未评定
• 影响版本
受影响的版本
TortoiseSVN Version <= 1.12.1
• 漏洞概述
TortoiseSVN是Subversion版本控制系统的一个免费开源客户端,可以超越时间的管理文件和目录。
该漏洞源于TortoiseSVN的URI处理程序(Tsvncmd)允许在Excel工作簿上进行定制的diff操作,该操作可能被用于在不受宏安全设置保护的情况下打开远程工作簿,从而造成任意代码执行。攻击者可能通过在网络驱动器中放入宏病毒来利用这一点,迫使受害者打开工作簿并执行其中的宏病毒。该漏洞可以通过用web浏览器访问一个特别设计的URL来触发。
• 漏洞验证
EXP: https://cxsecurity.com/issue/WLB-2019080055。
• 修复建议
目前,官方已发布了修复该漏洞的最新版 v1.12.2,建议尽快下载升级。官方下载链接:
https://tortoisesvn.net/downloads.zh.html。
• 参考链接
京公网安备11010802024551号