CVE-2026-44243

Nome do Software Vulnerável e Versões Afetadas GitPython versões anteriores a 3.1.48

Description A validação insuficiente de caminhos de referência em operações de criação, renomeação e exclusão de referências permite que atacantes escrevam, sobrescrevam, movam ou excluam arquivos fora do diretório .git do repositório. Este problema de path traversal ocorre porque os caminhos de referência não são validados consistentemente antes de operações de sistema de arquivos, apesar de existir alguma validação para operações de leitura. Especificamente, as funções SymbolicReference.create(), Reference.create(), SymbolicReference.set reference(), SymbolicReference.rename() e SymbolicReference.delete() constroem caminhos de sistema de arquivos a partir de nomes de referência controlados por atacantes sem impor os limites do repositório.

Recommendations Atualize para a versão 3.1.48 ou posterior. Como medida paliativa temporária, restrinja ou desabilite o uso de SymbolicReference.create(), Reference.create(), SymbolicReference.set reference(), SymbolicReference.rename() e SymbolicReference.delete() ao processar entradas controladas pelo usuário.