Dgl

**Nome do Software Vulnerável e Versões Afetadas** Versões do GitProxy 1.19.1 e anteriores **Descrição** O GitProxy é um aplicativo que atua como intermediário entre desenvolvedores e endpoints remotos do Git. As versões 1.19.1 e anteriores permitem que os usuários contornem políticas e aprovações explícitas ao fazer push para repositórios remotos. Especificamente, verificações e plugins são ignorados, potencialmente permitindo a introdução de segredos ou alterações indesejadas em um repositório. **Recomendações** Atualize para a versão 1.19.2 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do GitProxy 1.19.1 e inferiores **Descrição** O GitProxy é uma aplicação que atua como um intermediário entre desenvolvedores e um endpoint remoto do Git. Um packfile Git malicioso especialmente construído pode explorar a detecção da assinatura PACK no arquivo `parsePush.ts`. Incorporar uma assinatura PACK enganosa dentro do conteúdo do commit e construir cuidadosamente a estrutura do pacote pode enganar o analisador, fazendo-o tratar dados inválidos como o packfile, potencialmente permitindo contornar a aprovação ou ocultar commits. **Recomendações** Atualize para a versão 1.19.2 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Git anteriores a 2.43.7 Versões do Git anteriores a 2.44.4 Versões do Git anteriores a 2.45.4 Versões do Git anteriores a 2.46.4 Versões do Git anteriores a 2.47.3 Versões do Git anteriores a 2.48.2 Versões do Git anteriores a 2.49.1 Versões do Git anteriores a 2.50.1 Descrição: O auxiliar de credenciais wincred no Git não verifica adequadamente os limites do espaço restante disponível em um buffer estático antes de anexar dados a ele com wcsncat(), levando a potenciais estouros de buffer. Recomendações: Para versões anteriores a 2.43.7, atualize para a versão 2.43.7 ou posterior. Para versões anteriores a 2.44.4, atualize para a versão 2.44.4 ou posterior. Para versões anteriores a 2.45.4, atualize para a versão 2.45.4 ou posterior. Para versões anteriores a 2.46.4, atualize para a versão 2.46.4 ou posterior. Para versões anteriores a 2.47.3, atualize para a versão 2.47.3 ou posterior. Para versões anteriores a 2.48.2, atualize para a versão 2.48.2 ou posterior. Para versões anteriores a 2.49.1, atualize para a versão 2.49.1 ou posterior. Para versões anteriores a 2.50.1, atualize para a versão 2.50.1 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Git anteriores a 2.43.7 Versões do Git anteriores a 2.44.4 Versões do Git anteriores a 2.45.4 Versões do Git anteriores a 2.46.4 Versões do Git anteriores a 2.47.3 Versões do Git anteriores a 2.48.2 Versões do Git anteriores a 2.49.1 Versões do Git anteriores a 2.50.1 Descrição: O problema origina-se da validação insuficiente, por parte do cliente Git, dos bundles anunciados durante a clonagem de um repositório, permitindo que o servidor remoto realize injeção de protocolo. Isso pode levar o cliente a gravar o conteúdo buscado em um local controlado pelo adversário, potencialmente resultando em execução arbitrária de código. A vulnerabilidade pode ser explorada quando a opção de configuração `bundle.heuristic` está habilitada e, em alguns casos, exige que o adversário controle o local onde um repositório será clonado, o que pode ser conseguido mediante engenharia social ou clones recursivos com submódulos. Recomendações: Para versões do Git anteriores a 2.43.7, atualize para a versão 2.43.7 ou posterior. Para versões do Git anteriores a 2.44.4, atualize para a versão 2.44.4 ou posterior. Para versões do Git anteriores a 2.45.4, atualize para a versão 2.45.4 ou posterior. Para versões do Git anteriores a 2.46.4, atualize para a versão 2.46.4 ou posterior. Para versões do Git anteriores a 2.47.3, atualize para a versão 2.47.3 ou posterior. Para versões do Git anteriores a 2.48.2, atualize para a versão 2.48.2 ou posterior. Para versões do Git anteriores a 2.49.1, atualize para a versão 2.49.1 ou posterior. Para versões do Git anteriores a 2.50.1, atualize para a versão 2.50.1 ou posterior. Como medida temporária, considere desativar a opção de configuração `bundle.heuristic` para impedir o uso de URIs de bundle. Restrinja o acesso a clones recursivos para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Git de 2.43.7 a 2.50.1 **Descrição** O Git contém uma vulnerabilidade de seguimento de link decorrente do tratamento inconsistente de caracteres de retorno de carro em arquivos de configuração. Esta falha permite que atacantes executem código arbitrário por meio de repositórios maliciosos, especificamente através de submódulos manipulados. A vulnerabilidade permite gravação arbitrária de arquivos e execução remota de código (RCE) em sistemas Unix-like. A exploração está ocorrendo ativamente e uma prova de conceito (PoC) está disponível. A vulnerabilidade afeta as versões do Git CLI 2.50.0 e anteriores no macOS e Linux. O problema ocorre porque o Git remove caracteres de retorno de carro ao ler valores de configuração, mas não os coloca entre aspas ao escrever, o que leva a caminhos alterados durante a inicialização de submódulos e à potencial execução de hooks maliciosos. **Recomendações** Atualize o Git para a versão 2.50.1 ou superior.

Nome do software vulnerável e versões afetadas: Ghostty versão 1.0.0 Descrição: O Ghostty é um emulador de terminal multiplataforma que permite que invasores modifiquem o título da janela por meio de uma determinada sequência de escape de caracteres e, em seguida, a insiram de volta na linha de comando do terminal do usuário. Isso poderia permitir que o invasor executasse comandos arbitrários quando o usuário visualiza um arquivo contendo a sequência maliciosa e pressiona fisicamente a tecla “Enter”. Recomendações: Para o Ghostty versão 1.0.0, atualize para o Ghostty v1.0.1 para resolver o problema. Como solução temporária, considere evitar o uso de arquivos que possam conter sequências de escape maliciosas até que a atualização seja aplicada. Restrinja a interação do usuário com entradas potencialmente maliciosas para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** OpenBSD versions 7.3 before errata 014 **Description** The issue is related to a missing argument-count bounds check in console terminal emulation, which could cause incorrect memory access and a kernel crash after receiving crafted DCS or CSI terminal escape sequences. **Recommendations** For OpenBSD version 7.3 before errata 014, apply errata 014 to resolve the issue. As a temporary workaround, consider restricting the use of console terminal emulation until the patch is applied.