CVE-2024-50349

Nome do Software Vulnerável e Versões Afetadas Versões do Git anteriores à v2.48.1 Versões do Git anteriores à v2.47.2 Versões do Git anteriores à v2.46.3 Versões do Git anteriores à v2.45.3 Versões do Git anteriores à v2.44.3 Versões do Git anteriores à v2.43.6 Versões do Git anteriores à v2.42.4 Versões do Git anteriores à v2.41.3 Versões do Git anteriores à v2.40.4

Descrição O problema está relacionado ao componente Manipulador de Sequências de Escape ANSI no Git, que é um sistema de controle de revisão distribuído. Isso permite que atacantes elaborem URLs contendo sequências de escape ANSI que podem confundir os usuários, levando-os a fornecer senhas para sites de hospedagem Git confiáveis, que são então enviadas para sites não confiáveis sob controle do atacante. Isso é possível porque o Git exibe o nome do host para o qual se espera que o usuário forneça um nome de usuário e/ou uma senha via prompt do terminal sem utilizar nenhum auxiliar de credenciais, e quaisquer partes codificadas por URL já foram decodificadas e são exibidas literalmente.

Recomendações Para versões do Git anteriores à v2.48.1, atualize para a v2.48.1 ou posterior. Para versões do Git anteriores à v2.47.2, atualize para a v2.47.2 ou posterior. Para versões do Git anteriores à v2.46.3, atualize para a v2.46.3 ou posterior. Para versões do Git anteriores à v2.45.3, atualize para a v2.45.3 ou posterior. Para versões do Git anteriores à v2.44.3, atualize para a v2.44.3 ou posterior. Para versões do Git anteriores à v2.43.6, atualize para a v2.43.6 ou posterior. Para versões do Git anteriores à v2.42.4, atualize para a v2.42.4 ou posterior. Para versões do Git anteriores à v2.41.3, atualize para a v2.41.3 ou posterior. Para versões do Git anteriores à v2.40.4, atualize para a v2.40.4 ou posterior. Como solução alternativa temporária, os usuários que não puderem atualizar devem evitar clonar a partir de URLs não confiáveis, especialmente clonagens recursivas.