[TLP:CLEAR] Git opravuje 7 zranitelností v Git, Git GUI a Gitk
Git verzí 2.50.1 opravuje 7 zranitelností v nástroji Git i jeho grafických rozhraních Git GUI a Gitk [1]. Nejzávažnější z nich jsou uvedeny níže.
Autentizovanému vzdálenému útočníkovi je kvůli neošetřenému zacházení s koncovými znaky CR (carriage return) při zápisu konfiguračních hodnot prostřednictvím hooku post-checkout submodulu umožněno spustit libovolný kód [1][2].
Zranitelnost se nachází v produktu Git ve verzích <2.50.1.
CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-48384 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-436: Interpretation Conflict at cwe.mitre.org
- CWE-59: Improper Link Resolution Before File Access ('Link Following') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 7. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné validaci balíčků (bundle) Git klientem umožněno provést injekci do protokolu a přimět klienta k zápisu balíčku na libovolné místo, což může vést ke spuštění libovolného kódu [1][3].
Zranitelnost se nachází v produktu Git ve verzích <2.50.1.
CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2025-48385 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-73: External Control of File Name or Path at cwe.mitre.org
- CWE-88: Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 7. 2025.
Neautentizovanému lokálnímu útočníkovi je kvůli nedostatečné validaci názvu souboru při spuštění příkazu gitk umožněno podstrčit uživateli speciálně upravený soubor, jehož otevření může vést ke spuštění útočníkem dodaného skriptu a následnému spuštění libovolného kódu [1][4].
Zranitelnost se nachází v produktu Git ve verzích <2.50.1.
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-27614 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 7. 2025.
Neautentizovanému lokálnímu útočníkovi je umožněno zneužít chybnou správu cesty v Git GUI pro Windows a podvrhnout škodlivé binárky jako např. sh.exe nebo astextplain, které se automaticky spustí při otevření Git Bash nebo prohlížení souborů, což může vést ke spuštění libovolného kódu [1][5].
Zranitelnost se nachází v produktu Git ve verzích <2.50.1.
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-46334 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 7. 2025.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 22. 7. 2025.
