U Gitu je identifikovana kritična ranjivost (CVE-2021-29468), koja se pojavljuje samo kada se gradi za Cygwin okruženje (biblioteka za emulaciju osnovnog Linux API-ja na Windows-u i skup standardnih Linux programa za Windows). Ranjivost omogućava izvršavanje koda napadača prilikom preuzimanja podataka („git checkout“) iz spremišta koje kontroliše napadač. Problem je popravljen u paketu git 2.31.1-2 za Cygwin. U glavnom Git projektu, problem još nije riješen (malo je vjerovatno da netko gradi git za Cygwin vlastitim rukama, umjesto da koristi gotov paket).
Ranjivost je uzrokovana Cygwinovom obradom okruženja kao Unix-ovim sistemom, a ne Windowsom, što rezultira bez ograničenja u korištenju znaka '\' u putanji, dok u Cygwinu, kao iu Windowsu, ovaj znak može biti koristi se za odvajanje direktorija. Kao rezultat toga, stvaranjem posebno modificiranog spremišta koje sadrži simboličke veze i datoteke sa karakterom obrnute kose crte, moguće je prepisati proizvoljne datoteke prilikom učitavanja ovog spremišta u Cygwin (slična ranjivost je ispravljena u Gitu za Windows 2019.). Sticanjem mogućnosti prepisivanja datoteka, napadač može nadjačati pozive zakačivanja u git-u i uzrokovati izvršavanje proizvoljnog koda na sistemu.
izvor: opennet.ru