PT-2022-6487 · Git+2 · Git+2
Mark Esler
·
Publicado
2022-02-11
·
Atualizado
2025-09-10
·
CVE-2022-24975
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Git até a 2.35.1
Descrição
O problema está relacionado à divulgação de informações na área de dados de erro do sistema de controle de versão distribuído Git. Isso pode representar um risco à segurança se os processos de auditoria de divulgação de informações dependerem de uma operação de clonagem sem a opção --mirror. A documentação da opção --mirror do Git não menciona a disponibilidade de conteúdo excluído, também conhecida como o problema “GitBleed”. Observou-se que cerca de 18% dos segredos em 50.000 repositórios públicos não foram detectados ao usar o comando padrão git clone em vez de git clone --mirror.
Recomendações
Para versões do Git até a 2.35.1, considere usar o comando git clone --mirror em vez do comando padrão git clone para garantir que todos os dados, incluindo o conteúdo excluído, sejam clonados e auditados. Além disso, utilize recursos como proteção contra push e ganchos de pré-confirmação para impedir que segredos sejam confirmados nos repositórios. Se os segredos já tiverem sido confirmados, entre em contato com o suporte técnico para obter assistência.
Exploit
Correção
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Debian
Git