CVE-2020-5260

Versões do Git anteriores à 2.17.4

Versões do Git anteriores à 2.18.3

Versões do Git anteriores à 2.19.4

Versões do Git anteriores à 2.20.3

Versões do Git anteriores à 2.21.2

Versões do Git anteriores à 2.22.3

Versões do Git anteriores à 2.23.2

Versões do Git anteriores à 2.24.2

Versões do Git anteriores à 2.25.3

Versões do Git anteriores à 2.26.1

O problema decorre da validação insuficiente de entradas no componente “credential helper” do Git, permitindo que um invasor induza o Git a enviar credenciais privadas para um host controlado por ele. Isso pode ser feito criando uma URL com formatação especial contendo uma quebra de linha codificada, que injeta valores indesejados no fluxo do protocolo do credential helper. Como resultado, o credential helper pode recuperar a senha de um servidor e enviá-la para outro servidor, levando potencialmente ao acesso não autorizado a informações protegidas. A vulnerabilidade pode ser acionada ao fornecer uma URL maliciosa ao git clone, e o vetor provável seria por meio de sistemas que clonam automaticamente URLs não visíveis ao usuário, como submódulos do Git ou sistemas de pacotes construídos em torno do Git.

Para versões anteriores à 2.17.4, atualize para a versão 2.17.4 ou posterior.

Para versões anteriores à 2.18.3, atualize para a versão 2.18.3 ou posterior.

Para versões anteriores à 2.19.4, atualize para a versão 2.19.4 ou posterior.

Para versões anteriores à 2.20.3, atualize para a versão 2.20.3 ou posterior.

Para versões anteriores à 2.21.2, atualize para a versão 2.21.2 ou posterior.

Para versões