Ġew ippubblikati rilaxxi korrettivi tas-sistema ta' ġestjoni tal-kodiċi tas-sors distribwit Git 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1 u 2.50.1, li jirranġaw vulnerabbiltajiet li jippermettu lil attakkant jesegwixxi l-kodiċi tiegħu stess fuq is-sistema tal-utent meta jikklona repożitorju kkontrollat mill-attakkant.
- CVE-2025-48384 — Il-vulnerabbiltà hija kkawżata mill-fatt li meta jaqra l-valuri tal-parametri tal-konfigurazzjoni, Git iħassar il-karattri tal-feed tal-linja (LF) u r-ritorn tal-carriage (CR) fl-aħħar, iżda ma jaħrabx mill-karattru tar-ritorn tal-carriage meta jikteb valuri fil-fajl tal-konfigurazzjoni. Attakkant jista' jispeċifika mogħdija b'karattru ta' ritorn tal-carriage fl-aħħar tal-isem meta jinizzjalizza submodulu (sistemi ta' fajls f'sistemi operattivi simili għal Unix jippermettu li jiġu speċifikati karattri speċjali fl-ismijiet tal-fajls u tad-direttorji).
It-tneħħija tal-carry return meta taqra l-konfigurazzjoni tirriżulta f'li s-submodule jiġi ċċekkjat f'mogħdija invalida. Attakkant jista' jpoġġi link simboliku f'din il-mogħdija invalida li tipponta lejn direttorju b'git hooks u jpoġġi handler fih li jissejjaħ wara li titlesta l-operazzjoni ta' ċċekkjar. It-tħaddim ta' "git clone --recursive" fuq repożitorju b'submodule bħal dan jirriżulta fl-eżekuzzjoni tal-kodiċi tal-attakkant.
- CVE-2025-48385 - Validazzjoni insuffiċjenti min-naħa tal-klijent tal-fajls tal-pakkett li jiġu servuti server Waqt il-klonazzjoni tar-repożitorju u użat biex jiġi trasferit xi wħud mid-dejta permezz ta' sistemi ta' kunsinna tal-kontenut (CDNs). Attakkant li jikkontrolla server Git jista' jirranġa biex klijent iniżżel fajl ta' pakkett magħmul apposta, li, wara l-estrazzjoni, jiġi ssejvjat f'post arbitrarju fuq is-sistema tal-fajls.
- CVE-2025-48386 - Speċifiku għall-Pjattaforma Windows уязвимость, вызванная переполнением буфера в обработчике Wincred, применяемом для сохранения учётных данных в Windows Maniġer tal-Kredenzjali.
Barra minn hekk, ġew irranġati erba' vulnerabbiltajiet fl-interfejsijiet grafiċi tal-Gitk u l-Git GUI miktuba f'Tcl/Tk:
- CVE-2025-27613 - Il-ftuħ ta' repożitorju magħmul apposta f'Gitk jista' jirriżulta f'fajls arbitrarji li jiġu miktuba fuq is-sistema tal-fajls.
- CVE-2025-27614 - Meta tesegwixxi "gitk filename" fuq repożitorju magħmul apposta, dan jista' jirriżulta fl-eżekuzzjoni ta' skript maħluq minn attakkant.
- CVE-2025-46334 — в Git GUI в Windows можно организовать запуск кода атакующего при выполнении пользователем действий «Git Bash» или «Browse Files» c репозиторием, в рабочем дереве которого атакующим размещены типовые исполняемые файлы, такие как sh.exe, astextplain.exe, exif.exe и ps2ascii.exe, вызываемые в процессе работы Git GUI.
- CVE-2025-46335 - Huwa possibbli li toħloq jew tissostitwixxi fajl arbitrarju fl-FS meta utent jeditja fajl fil-Git GUI minn direttorju b'isem ifformattjat apposta, estratt minn repożitorju ppreparat mill-attakkant.
Sors: opennet.ru
