CVE-2025-23040

Nome do Software Vulnerável e Versões Afetadas Versões do GitHub Desktop anteriores à 3.4.12

Descrição Um atacante pode acessar as credenciais de um usuário ao convencê-lo a clonar um repositório diretamente ou por meio de um submódulo, utilizando uma URL remota criada maliciosamente. O GitHub Desktop depende do Git para operações de rede e utiliza o protocolo git-credential para solicitar credenciais para hosts remotos. Uma URL maliciosa pode fazer com que o GitHub Desktop interprete incorretamente a solicitação de credencial, enviando credenciais de um host diferente, o que permite a exfiltração de segredos. Isso poderia transmitir indevidamente o nome de usuário do GitHub e o token OAuth, ou credenciais de outros hosts remotos do Git armazenados no GitHub Desktop, para um host não relacionado.

Recomendações Atualize para o GitHub Desktop 3.4.12 ou superior para corrigir a vulnerabilidade. Como medida de precaução, os usuários que suspeitam que podem ser afetados devem revogar quaisquer credenciais relevantes.