Во Git е идентификувана критична ранливост (CVE-2021-29468), која се појавува само кога се гради за околината Cygwin (библиотека за емулирање на основниот Linux API на Windows и збир на стандардни Linux програми за Windows). Ранливоста дозволува да се изврши кодот на напаѓачот кога се вадат податоци („git checkout“) од складиште контролирано од напаѓачот. Проблемот е поправен во пакетот git 2.31.1-2 за Cygwin. Во главниот проект Git, проблемот сè уште не е поправен (малку е веројатно дека некој го гради git за Cygwin со свои раце, наместо да користи готов пакет).
Ранливоста е предизвикана од Cygwin обработката на околината како систем сличен на Unix наместо Windows, што резултира со никакви ограничувања за употребата на знакот '\' на патеката, додека во Cygwin, како во Windows, овој знак може да биде се користи за одвојување директориуми. Како резултат на тоа, со создавање на специјално модифицирано складиште кое содржи симболични врски и датотеки со знак за назад, можно е да се пребришат произволни датотеки при вчитување на ова складиште во Cygwin (слична ранливост беше поправена во Git за Windows во 2019 година). Со стекнување на способност за презапишување датотеки, напаѓачот може да ги отфрли повиците за кука во git и да предизвика произволен код да се изврши на системот.
Извор: opennet.ru