# Git-LFS 远程命令执行漏洞 CVE-2020-27955

## 漏洞描述

Git LFS 是 Github 开发的一个 Git 的扩展，用于实现 Git 对大文件的支持

一些受影响的产品包括Git，GitHub CLI，GitHub Desktop，Visual Studio，GitKraden，SmartGit，Sourcetree等

该漏洞影响仅windows平台

## 漏洞影响

> [!NOTE]
>
> Git-LFS（git-lfs）<= 2.12

## 漏洞复现

运行下列的命令，如果版本在影响范围则会弹出计算器

```
git clone https://github.com/r00t4dm/CVE-2020-27955
```

![](http://wikioss.peiqi.tech/vuln/git-1.png?x-oss-process=image/auto-orient,1/quality,q_90/watermark,image_c2h1aXlpbi9zdWkucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTQvYnJpZ2h0LC0zOS9jb250cmFzdCwtNjQ,g_se,t_17,x_1,y_10)

![](http://wikioss.peiqi.tech/vuln/git-2.png?x-oss-process=image/auto-orient,1/quality,q_90/watermark,image_c2h1aXlpbi9zdWkucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTQvYnJpZ2h0LC0zOS9jb250cmFzdCwtNjQ,g_se,t_17,x_1,y_10)

## 漏洞POC

```
https://github.com/r00t4dm/CVE-2020-27955
```