Después de que estalló la noticia de la vulnerabilidad de Shellshock, recordé que tenía instalada la versión de GitHub de un shell bash para Windows. Solo para ver si también tenía la vulnerabilidad, ejecuté:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Y volví:
vulnerable
this is a test
Aún así, al ser un sistema Windows, ¿se puede hacer algo malicioso desde el shell bash de GitHub, aparte de ensuciar mis repositorios?
(GitHub v2.0.6.0 130c781) (GitHub v2.4.0.12 34d40b7)
editar:
env x='() { :;};' bash -c "vi foldername/filename"
Confirmando esto puede editar archivos de sistema de Windows.