CWE ID: 527
Name: Exposure of Version-Control Repository to an Unauthorized Control Sphere
Das Produkt speichert ein CVS, git oder ein anderes Repository in einem Verzeichnis, Archiv oder einer anderen Ressource, die gespeichert, übertragen oder anderweitig für unbefugte Akteure zugänglich gemacht wird.
Versionskontroll-Repositories wie CVS oder git speichern versionsspezifische Metadaten und weitere Details in Unterverzeichnissen. Sollten diese Unterverzeichnisse auf einem Webserver gespeichert oder in ein Archiv aufgenommen werden, könnten sie von einem Angreifer ausgenutzt werden. Diese Informationen können Benutzernamen, Dateinamen, Pfad-Root, IP-Adressen und detaillierte “diff”-Daten darüber enthalten, wie Dateien verändert wurden – was Code-Schnipsel offenlegen könnte, die niemals für die Öffentlichkeit bestimmt waren.
Effektivität: Unknown
Beschreibung: Empfehlungen umfassen die Entfernung aller CVS-Verzeichnisse und -Repositories vom Produktionsserver, die Deaktivierung der Nutzung von Remote CVS-Repositories und die Sicherstellung, dass die neuesten CVS-Patches und Versionsupdates durchgeführt wurden.
