Git sérülékenysége
Angol cím: Git vulnerability
Publikálás dátuma: 2025.07.08.
Utolsó módosítás dátuma: 2025.08.25.
Leírás
Az “A” termék máshogy kezeli a bemeneteket mint “B”, ami azt eredményezi hogy “A” hibás műveleteket hajt végre “B” állapotának észlelése alapján.
Leírás forrása: CWE-436Elemzés leírás
Eredeti nyelven:
Git is a fast, scalable, distributed revision control system with an unusually rich command set that provides both high-level operations and full access to internals. When reading a config value, Git strips any trailing carriage return and line feed (CRLF). When writing a config entry, values with a trailing CR are not quoted, causing the CR to be lost when the config is later read. When initializing a submodule, if the submodule path contains a trailing CR, the altered path is read resulting in the submodule being checked out to an incorrect location. If a symlink exists that points the altered path to the submodule hooks directory, and the submodule contains an executable post-checkout hook, the script may be unintentionally executed after checkout. This vulnerability is fixed in v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1, and v2.50.1.
Elemzés leírás forrása: CVE-2025-48384Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 8.0 (Magas)
Vector: AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H
Impact Score: 6.0
Exploitability Score: 1.3
Attack Vector (AV): Network
Attack Complexity (AC): High
Privileges Required (PR): Low
User Interaction (UI): Required
Scope (S): Changed
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High
Sérülékeny szoftverek
v2.50.0
v2.49.0
v2.48.0-v2.48.1
v2.47.0–v2.47.2
v2.46.0–v2.46.3
v2.45.0-v2.45.3
v2.44.0–v2.44.3
v2.43.6 és a korábbi verziók