Проект Git выпустил критическое обновление безопасности версии 2.50.1, устраняющее семь уязвимостей, затрагивающих все предыдущие версии Git. Это последнее обновление устраняет проблемы, которые потенциально могут привести к выполнению произвольного кода и манипуляциям с файлами.
Одна из существенных уязвимостей (CVE-2025-48384) связана с неправильной обработкой символов возврата каретки и перевода строки при чтении и записи значений конфигурации. Это может привести к тому, что злоумышленники смогут выполнять произвольный код с помощью хуков подмодуля. Другая связанная с этим проблема (CVE-2025-48385) касается недостаточной проверки Git при получении пакетов репозитория, что позволяет злоумышленникам использовать внедрение протокола и потенциально записывать файлы в произвольные места.
На платформе Windows уязвимость CVE-2025-48386 указывает на риск переполнения буфера, связанный с помощником по учётным данным Wincred, который используется при аутентификации в Git. Эта уязвимость может позволить злоумышленникам скомпрометировать пользовательские системы с помощью атак на переполнение.
Кроме того, это обновление устраняет четыре уязвимости, связанные с графическими интерфейсами Git, а именно с Gitk и Git GUI. Эти интерфейсы, основанные на Tcl/Tk, обеспечивают визуальное взаимодействие с репозиториями Git. Такие уязвимости, как CVE-2025-27613 и CVE-2025-27614, связаны с некорректной обработкой Gitk специально созданных репозиториев или имён файлов, что позволяет произвольно манипулировать файлами и выполнять сценарии, предоставленные злоумышленником.
Специфичная для Windows CVE-2025-46334 в графическом интерфейсе Git представляет собой сценарий, при котором вредоносные исполняемые файлы, расположенные в рабочем каталоге репозитория, могут быть случайно запущены пользователями, взаимодействующими с графическим интерфейсом. CVE-2025-46335 дополнительно иллюстрирует риски, связанные с уязвимостями при манипуляциях с файлами в графическом интерфейсе Git, аналогичными CVE-2025-27613, которая позволяет злоумышленникам перезаписывать произвольные файлы.
Для эффективного устранения этих уязвимостей пользователям настоятельно рекомендуется немедленно обновиться до Git 2.50.1. Для тех, кто не может выполнить обновление в ближайшее время, предусмотрены временные меры: отказ от рекурсивного клонирования подмодулей из ненадёжных источников, отключение автоматической выборки пакетов, отказ от использования Wincred для учётных данных в Windows и отказ от запуска Git GUI или Gitk в ненадёжных репозиториях.
Для получения дополнительной информации обратитесь к официальному объявлению: https://github.blog/open-source/git/git-security-vulnerabilities-announced-6/.