CVE-2025-48385

Nome do Software Vulnerável e Versões Afetadas: Versões do Git anteriores a 2.43.7 Versões do Git anteriores a 2.44.4 Versões do Git anteriores a 2.45.4 Versões do Git anteriores a 2.46.4 Versões do Git anteriores a 2.47.3 Versões do Git anteriores a 2.48.2 Versões do Git anteriores a 2.49.1 Versões do Git anteriores a 2.50.1

Descrição: O problema origina-se da validação insuficiente, por parte do cliente Git, dos bundles anunciados durante a clonagem de um repositório, permitindo que o servidor remoto realize injeção de protocolo. Isso pode levar o cliente a gravar o conteúdo buscado em um local controlado pelo adversário, potencialmente resultando em execução arbitrária de código. A vulnerabilidade pode ser explorada quando a opção de configuração bundle.heuristic está habilitada e, em alguns casos, exige que o adversário controle o local onde um repositório será clonado, o que pode ser conseguido mediante engenharia social ou clones recursivos com submódulos.

Recomendações: Para versões do Git anteriores a 2.43.7, atualize para a versão 2.43.7 ou posterior. Para versões do Git anteriores a 2.44.4, atualize para a versão 2.44.4 ou posterior. Para versões do Git anteriores a 2.45.4, atualize para a versão 2.45.4 ou posterior. Para versões do Git anteriores a 2.46.4, atualize para a versão 2.46.4 ou posterior. Para versões do Git anteriores a 2.47.3, atualize para a versão 2.47.3 ou posterior. Para versões do Git anteriores a 2.48.2, atualize para a versão 2.48.2 ou posterior. Para versões do Git anteriores a 2.49.1, atualize para a versão 2.49.1 ou posterior. Para versões do Git anteriores a 2.50.1, atualize para a versão 2.50.1 ou posterior. Como medida temporária, considere desativar a opção de configuração bundle.heuristic para impedir o uso de URIs de bundle. Restrinja o acesso a clones recursivos para minimizar o risco de exploração.