Versões corretivas do sistema de controle de origem distribuído Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 foram publicados .2.27.1, 2.28.1, 2.29.3 e 2021, que corrigiram uma vulnerabilidade (CVE-21300-2.15) que permite a execução remota de código ao clonar o repositório de um invasor usando o comando “git clone”. Todas as versões do Git desde a versão XNUMX são afetadas.
O problema ocorre ao usar operações de checkout adiadas, que são usadas em alguns filtros de limpeza, como aqueles configurados no Git LFS. A vulnerabilidade só pode ser explorada em sistemas de arquivos que não diferenciam maiúsculas de minúsculas e que suportam links simbólicos, como NTFS, HFS+ e APFS (ou seja, em plataformas Windows e macOS).
Como solução alternativa de segurança, você pode desabilitar o processamento de link simbólico no git executando “git config —global core.symlinks false”, ou desabilitar o suporte ao filtro de processo usando o comando “git config —show-scope —get-regexp 'filter\.. * \.processo'". Também é recomendado evitar a clonagem de repositórios não verificados.
Fonte: opennet.ru