CVE-2024-50338

Nome do Software Vulnerável e Versões Afetadas Versões do Git Credential Manager anteriores a 2.6.1 Versões do Git for Windows anteriores a 2.47.1.2

Descrição O problema surge de uma incompatibilidade no tratamento de caracteres de nova linha entre o Git e o Git Credential Manager (GCM). O GCM considera LF, CRLF e CR como finais de linha válidos, enquanto o Git considera apenas LF e CRLF como caracteres de nova linha. Essa discrepância permite que um atacante crie uma URL remota maliciosa, potencialmente capturando credenciais de outro remote do Git quando um usuário clona ou interage com um repositório malicioso. O ataque é agravado ao clonar repositórios com submódulos usando a opção de clone --recursive, pois o usuário não pode inspecionar as URLs remotas dos submódulos antecipadamente.

Recomendações Versões do Git Credential Manager anteriores a 2.6.1: Atualize para a versão 2.6.1 ou posterior para corrigir o problema. Versões do Git for Windows anteriores a 2.47.1.2: Atualize para a versão 2.47.1.2 ou posterior para corrigir o problema. Usuários impossibilitados de atualizar: Interaja apenas com repositórios remotos confiáveis e evite clonar com --recursive para permitir a inspeção das URLs dos submódulos antes de clonar.