CVE-2024-45305

Versões do gix-path anteriores à 0.10.10

O crate gix-path do projeto gitoxide trata erroneamente a configuração do repositório local como se fosse de âmbito global, caso não seja encontrada uma configuração de âmbito superior. Isso pode fazer com que um repositório menos confiável seja tratado como mais confiável, ou vazar informações confidenciais de um repositório para outro, como o envio de credenciais para o repositório remoto de outro usuário. Acredita-se que seja muito difícil explorar essa vulnerabilidade deliberadamente, devido à necessidade de antecipar ou providenciar a ausência de variáveis de configuração de escopo superior. Qualquer sistema operacional pode ser afetado, mas usuários que executam o Apple Git no macOS têm muito menos chances de serem afetados.

Para resolver o problema, atualize para a versão 0.10.10 ou posterior. Como solução temporária, considere definir as variáveis de ambiente GIT CONFIG SYSTEM e GIT CONFIG GLOBAL para impedir que o gix-path encontre o caminho dos arquivos de configuração para esses escopos. Além disso, usar um gerenciador de credenciais ou definir http.<url>.extraHeader com um <url> específico pode ajudar a evitar a vulnerabilidade.