TortoiseSVN遠程代碼執行漏洞安全通告

發布時間 2019-08-15

? 漏洞編號和級別


CVE編號:CVE-2019-14422,危險級別:高危,CVSS分值:廠商自評:8.8,官方未評定


影響版本


受影響的版本


TortoiseSVN Version <= 1.12.1


漏洞概述


TortoiseSVN是Subversion版本控制系統的一個免費開源客戶端,可以超越時間的管理文件和目錄。


該漏洞源于TortoiseSVN的URI處理程序(Tsvncmd)允許在Excel工作簿上進行定制的diff操作,該操作可能被用于在不受宏安全設置保護的情況下打開遠程工作簿,從而造成任意代碼執行。攻擊者可能通過在網絡驅動器中放入宏病毒來利用這一點,迫使受害者打開工作簿并執行其中的宏病毒。該漏洞可以通過用web瀏覽器訪問一個特別設計的URL來觸發。


漏洞驗證


EXP: https://cxsecurity.com/issue/WLB-2019080055。


修復建議


目前,官方已發布了修復該漏洞的最新版 v1.12.2,建議盡快下載升級。官方下載鏈接:


https://tortoisesvn.net/downloads.zh.html。


參考鏈接


https://seclists.org/fulldisclosure/2019/Aug/7