Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1 и 2.50.1, в которых устранены уязвимости, позволяющие выполнить свой код на системе пользователя при выполнение операции клонирования репозитория, подконтрольного атакующему.
- CVE-2025-48384 – уязвимость вызвана тем, что при чтении значений параметров конфигурации Git очищает указанные в конце символы перевода строки (LF) и возврата каретки (CR), но при записи значений в файл конфигурации не выполняет экранирование символа возврата каретки. Атакующий может указать при инициализации субмодуля путь, в конце имени которого указан символ возврата каретки (ФС в unix-подобных ОС позволяют указывать спецсимволы в именах файлов и каталогов).
Очистка символа возврата каретки при чтении конфигурации приведёт к тому, что субмодуль будет извлечён по некорректному пути. Атакующий может разместить по этому некорректному пути символическую ссылку, указывающую на каталог с git hook-ами и разместить в нём обработчик, вызываемый после завершения операции checkout. Выполнение команды “git clone –recursive” над репозиторием с подобным субмодулем приведёт к выполнению кода, указанного злоумышленником.
- CVE-2025-48385 – недостаточная проверка на стороне клиента bundle-файлов, отдаваемых сервером во время клонирования репозитория и используемых для передачи части отдаваемых данных через системы доставки контента (CDN). Атакующий, контролирующий Git-сервер, может организовать загрузку клиентом специально оформленного bundle-файла, который после извлечения будет сохранён в произвольное место ФС.
- CVE-2025-48386 – специфичная для платформы Windows уязвимость, вызванная переполнением буфера в обработчике Wincred, применяемом для
сохранения учётных данных в Windows Credential Manager.
Кроме того, устранены четыре уязвимости в графических интерфейсах Gitk и Git GUI, написанных на Tcl/Tk:
- CVE-2025-27613 – открытие в Gitk специально оформленного репозитория может привести к перезаписи произвольных файлов в файловой системе.
- CVE-2025-27614 – при выполнении “gitk filename” над специально оформленным репозиторием может привести к запуску скрипта, подготовленного атакующим.
- CVE-2025-46334 – в Git GUI в Windows можно организовать запуск кода атакующего при выполнении пользователем действий “Git Bash” или “Browse Files” c репозиторием, в рабочем дереве которого атакующим размещены типовые исполняемые файлы, такие как sh.exe, astextplain.exe, exif.exe и ps2ascii.exe, вызываемые в процессе работы
Git GUI. - CVE-2025-46335 – возможность создать или перезаписать произвольный файл в ФС при редактировании пользователем в Git GUI файла из каталога со специально оформленным именем, извлечённого из репозитория, подготовленного атакующим.