Emendationes correctivae systematis administrationis codicis fontis distributi Git 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1 et 2.50.1 divulgatae sunt, quae vulnerabilitates corrigunt quae permittunt aggressori codicem suum in systemate usoris exsequi dum repositorium ab aggressore administratum clonat.
- CVE-2025-48384 — Haec vulnerabilitas ex eo oritur quod, cum valores parametrorum configurationis leguntur, Git characteres "line feed" (LF) et "carry return" (CR) in fine purgat, sed characterem "carry return" non eludit cum valores in fasciculum configurationis scribit. Impetrator viam cum charactere "carry return" in fine nominis specificare potest cum submodulum initiat (systemata fasciculorum in systematibus operandis Unix similibus permittunt characteres speciales in nominibus fasciculorum et directoriorum specificari).
Si signum reditus currus deleatur dum configurationem legitur, submodulus in via invalida extrahetur. Impetrator nexum symbolicum in hac via invalida ponere potest, qui directorium cum hamis "git" indicat, et in eo tractatorem collocare potest qui postquam operatio extractionis perfecta est vocatur. Si "git clone --recursive" in repositorio cum tali submodulo exsequaris, codicis impetratoris exsecutionem efficiet.
- CVE-2025-48385 - Validatio fasciculorum fasciculorum exhibitorum a cliente insufficiens server Dum repositorium clonatur et ad transferenda quaedam data per systemata distributionis contentorum (CDN) adhibetur. Impetrator servum Git moderans potest efficere ut cliens fasciculum fasciculi specialiter fabricatum detrahat, qui, post extractionem, in loco arbitrario in systemate fasciculorum servabitur.
- CVE-2025-48386 - Proprium Platformae Windows Vulnerabilitas redundantiae memoriae intermediae (buffer overflow) in tractatore Wincred adhibito ad credentiales servandas in... Windows Procurator Testimoniorum.
Praeterea, quattuor vulnerabilitates in interfaciebus graphicis Gitk et Git GUI, quae in Tcl/Tk scriptis sunt, correctae sunt:
- CVE-2025-27613 - Aperitio repositorii specialiter fabricati in Gitk potest efficere ut fasciculi arbitrarii in systemate fasciculorum superscribantur.
- CVE-2025-27614 - Cum "gitk filename" in repositorio specialiter fabricato exsequitur, fieri potest ut scriptum ab aggressore creatum exsequatur.
- CVE-2025-46334 - in interfacie graphica Git Windows Emissionem codicis aggressoris ordinare licet cum usor actiones "Git Bash" vel "Browse Files" peragit cum repositorio, in cuius arbore operativa aggressor fasciculos typicos exsecutables, ut sh.exe, astextplain.exe, exif.exe et ps2ascii.exe, vocatos durante operatione GUI Git, collocavit.
- CVE-2025-46335 - Fasciculum arbitrarium in FS creare vel superscribere licet cum usor fasciculum in GUI Git ex directorio nomine speciali formato, ex repositorio ab aggressore parato extracto, edit.
Source: opennet.ru
