V Gitu (CVE-2021-29468) je bila ugotovljena kritična ranljivost, ki se pojavi samo pri gradnji za okolje Cygwin (knjižnica za posnemanje osnovnega Linux API-ja v sistemu Windows in niz standardnih programov Linux za Windows). Ranljivost omogoča izvajanje kode napadalca pri pridobivanju podatkov (»git checkout«) iz repozitorija, ki ga nadzira napadalec. Težava je odpravljena v paketu git 2.31.1-2 za Cygwin. V glavnem projektu Git težava še ni bila odpravljena (malo verjetno je, da nekdo gradi git za Cygwin z lastnimi rokami, namesto da bi uporabil že pripravljen paket).
Ranljivost povzroča Cygwinova obdelava okolja kot sistem, podoben Unixu, in ne Windows, zaradi česar ni nobenih omejitev glede uporabe znaka '\' na poti, medtem ko je v Cygwinu, tako kot v sistemu Windows, ta znak lahko uporablja se za ločevanje imenikov. Posledično je z ustvarjanjem posebej spremenjenega repozitorija, ki vsebuje simbolne povezave in datoteke s poševnico nazaj, mogoče prepisati poljubne datoteke pri nalaganju tega repozitorija v Cygwin (podobna ranljivost je bila odpravljena v Git za Windows leta 2019). S pridobitvijo zmožnosti prepisovanja datotek lahko napadalec preglasi hook klice v git in povzroči izvajanje poljubne kode v sistemu.
Vir: opennet.ru