CVE-2026-45022

Nome do Software Vulnerável e Versões Afetadas go-git versões anteriores à v5

Descrição O go-git pode analisar objetos Git malformados de maneira diferente do Git upstream. Quando objetos de commit ou tag contêm cabeçalhos ambíguos ou malformados, a representação decodificada do go-git pode expor valores diferentes de como o Git interpretaria ou rejeitaria o mesmo objeto. Além disso, a lógica de assinatura e verificação de commit opera sobre dados de commit reconstruídos a partir da representação analisada, em vez dos bytes originais do objeto bruto. Isso pode fazer com que o go-git assine ou verifique um payload de commit que não seja byte a byte equivalente ao objeto armazenado no repositório, podendo fazer com que uma assinatura pareça válida para um commit cujos metadados exibidos ou efetivos difiram do objeto que se pretendia assinar.

Recomendações Atualize para uma versão suportada do go-git (v5 ou posterior).