CVE-2026-45033

Nome do Software Vulnerável e Versões Afetadas GitHub Copilot CLI versões anteriores a 1.0.43

Description Existe um problema onde um repositório git bare malicioso aninhado dentro de um diretório de projeto pode levar à execução de código arbitrário quando o agente realiza operações git. Ao explorar a descoberta automática de repositórios bare do git durante a travessia de diretórios, um invasor pode configurar chaves executáveis para executar comandos arbitrários sem o conhecimento ou aprovação do usuário. Isso ocorre porque certas chaves de configuração do git, como core.fsmonitor, core.hookspath, diff.external e merge.tool, podem especificar comandos de shell que o git executa durante operações normais como status, diff ou rev-parse.

Recommendations Atualize o GitHub Copilot CLI para a versão 1.0.43 ou posterior. Tenha cautela ao trabalhar em repositórios que contenham repositórios git bare aninhados. Revise os diretórios do projeto em busca de repositórios bare inesperados, especialmente em vendor/, third party/ ou subdiretórios profundamente aninhados.