PT-2026-37125 · Go-Git · Go-Git

Ayushparkara

+2

·

Publicado

2026-04-17

·

Atualizado

2026-06-08

·

CVE-2026-41506

CVSS v3.1

7.4

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas go-git versões anteriores a 5.18.0 go-git versões anteriores a 6.0.0-alpha.2
Description Durante operações de clone e fetch smart-HTTP, a biblioteca pode vazar credenciais de autenticação HTTP ao seguir redirecionamentos. Se um repositório remoto responder à solicitação inicial '/info/refs' com um redirecionamento para um host diferente, o endpoint da sessão é atualizado para o local redirecionado e a autenticação original, como cabeçalhos de Autorização, é reutilizada para solicitações subsequentes. Isso permite que um invasor que controle o destino do redirecionamento capture as credenciais e potencialmente acesse os repositórios da vítima ou outros recursos. Este problema ocorre ao interagir com servidores Git não confiáveis ou mal configurados ou ao usar conexões HTTP não seguras.
Recommendations Atualizar para a versão 5.18.0. Atualizar para a versão 6.0.0-alpha.2.

Correção

Insufficiently Protected Credentials

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-522

Identificadores relacionados

CLEANSTART-2026-GN78570
CLEANSTART-2026-NT80635
CLEANSTART-2026-VT65447
CVE-2026-41506
GHSA-3XC5-WRHM-F963
OPENSUSE-SU-2026:10765-1
OPENSUSE-SU-2026:10771-1
OPENSUSE-SU-2026:10803-1
OPENSUSE-SU-2026:10830-1
OPENSUSE-SU-2026:10967-1
RHSA-2026:17669

Produtos afetados

Go-Git