gitoxide is a pure Rust implementation of Git. During checkout, `gix-worktree-state` does not verify that paths point to locations in the working tree. A specially crafted repository can, when cloned, place new files anywhere writable by the application. This vulnerability leads to a major loss of confidentiality, integrity, and availability, but creating files outside a working tree without attempting to execute code can directly impact integrity as well. This vulnerability has been patched in version(s) 0.36.0.
gitoxide es una implementación Rust pura de Git. Durante el pago, `gix-worktree-state` no verifica que las rutas apunten a ubicaciones en el árbol de trabajo. Un repositorio especialmente manipulado puede, cuando se clona, colocar archivos nuevos en cualquier lugar donde la aplicación pueda escribirlos. Esta vulnerabilidad provoca una pérdida importante de confidencialidad, integridad y disponibilidad, pero la creación de archivos fuera de un árbol de trabajo sin intentar ejecutar código también puede afectar directamente la integridad. Esta vulnerabilidad ha sido parcheada en las versiones 0.36.0.
