CVE-2025-54586

Nome do Software Vulnerável e Versões Afetadas Versões do GitProxy 1.19.1 e anteriores

Descrição O GitProxy é um aplicativo que atua como intermediário entre desenvolvedores e um endpoint remoto do Git. Atacantes podem injetar commits extras no pack enviado ao GitHub, commits que não estão associados a nenhuma branch. Esses commits "ocultos" não são visíveis no histórico do repositório, mas ainda estão acessíveis através de suas URLs diretas de commit, permitindo que um atacante exfiltre dados sensíveis sem deixar rastros na visualização da branch. Isso compromete a confidencialidade do repositório. A vulnerabilidade ocorre porque o proxy confia apenas na linha de ref-update e não inspeciona o conteúdo do packfile, falhando em verificar quais commits estão realmente incluídos no pack.

Recomendações Atualize para o GitProxy versão 1.19.2 ou posterior.