| Описание |
Уязвимость была обнаружена в git до версии 2.26.2. С созданным URL-адресом, который содержит новую строку или пустой хост или не имеет схемы, вспомогательный механизм учетных данных может быть обманут, предоставив учетные данные, которые не подходят для используемого протокола и хоста, с которым осуществляется связь.
В отличие от уязвимости CVE-2020-5260, исправленной в v2.26.1, учетные данные не принадлежат хосту по выбору злоумышленника; вместо этого они предназначены для некоторого неуказанного хоста (в зависимости от того, как настроенный помощник по учетным данным обрабатывает отсутствующий параметр «хост»).
Атака стала невозможной из-за отказа работать с недостаточно заданными шаблонами учетных данных. |
