Github · Github Copilot Cli · CVE-2026-45033
**Nome do Software Vulnerável e Versões Afetadas**
GitHub Copilot CLI versões anteriores a 1.0.43
**Description**
Existe um problema onde um repositório git bare malicioso aninhado dentro de um diretório de projeto pode levar à execução de código arbitrário quando o agente realiza operações git. Ao explorar a descoberta automática de repositórios bare do git durante a travessia de diretórios, um invasor pode configurar chaves executáveis para executar comandos arbitrários sem o conhecimento ou aprovação do usuário. Isso ocorre porque certas chaves de configuração do git, como `core.fsmonitor`, `core.hookspath`, `diff.external` e `merge.tool`, podem especificar comandos de shell que o git executa durante operações normais como `status`, `diff` ou `rev-parse`.
**Recommendations**
Atualize o GitHub Copilot CLI para a versão 1.0.43 ou posterior.
Tenha cautela ao trabalhar em repositórios que contenham repositórios git bare aninhados.
Revise os diretórios do projeto em busca de repositórios bare inesperados, especialmente em `vendor/`, `third party/` ou subdiretórios profundamente aninhados.