CVE-2024-32002

Versões do Git anteriores à 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 e 2.39.4

A vulnerabilidade permite que um invasor execute código arbitrário ao clonar repositórios com submódulos. Isso é possível porque o Git pode ser induzido a gravar arquivos não na árvore de trabalho do submódulo, mas em um diretório .git/, permitindo a execução de um hook durante a operação de clonagem sem que o usuário tenha a oportunidade de inspecionar o código. Se o suporte a links simbólicos estiver desativado no Git, o ataque não funcionará. Recomenda-se evitar clonar repositórios de fontes não confiáveis.

Para resolver o problema em cada versão afetada, atualize o Git para a versão 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 ou 2.39.4, ou posterior.

Como solução temporária, considere desativar o suporte a links simbólicos no Git usando git config --global core.symlinks false.

Para usuários do Git para Windows, atualize o Git executando “git update-git-for-windows”.