PT-2025-1014 · Go-Git+9 · Go-Git+9
Vin01
·
Publicado
2025-01-06
·
Atualizado
2026-03-12
·
CVE-2025-21613
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do go-git anteriores à v5.13
Descrição
Uma vulnerabilidade de injeção de argumento foi descoberta no go-git. A exploração bem-sucedida desta vulnerabilidade poderia permitir que um atacante definisse valores arbitrários para as flags do git-upload-pack. Isso ocorre apenas quando o protocolo de transporte
file está sendo utilizado, pois é o único protocolo que executa binários do git via shell.Recomendações
Para versões do go-git anteriores à v5.13, atualize para a versão 5.13.0 para mitigar esta vulnerabilidade.
Como solução temporária, considere impor regras de validação estritas para valores passados no campo URL.
Restrinja o acesso ao protocolo de transporte
file para minimizar o risco de exploração.
Evite utilizar o protocolo de transporte file até que o problema seja resolvido.Exploit
Correção
Argument Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Almalinux
Centos
Debian
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Go-Git