CVE-2026-45571

Nome do Software Vulnerável e Versões Afetadas go-git versões anteriores a v5

Descrição Um problema de validação de caminho permite que dados de repositório manipulados afetem arquivos fora do alvo de checkout pretendido, incluindo o diretório .git do repositório. Isso ocorre porque o software divergiu das verificações de validação implementadas no Git upstream. Alguns vetores de ataque são específicos de plataforma, afetando apenas usuários de Windows ou macOS, enquanto outros se aplicam a todas as plataformas suportadas. O isolamento pode ser fornecido se instâncias de sistema de arquivos go-billy não descendentes ou tipos de sistemas de arquivos diferentes forem usados para o Storer e Worktree, como o uso de memfs para o diretório .git e osfs para a worktree. No entanto, esse isolamento pode não se aplicar a repositórios que contenham submódulos, pois os diretórios dotgit de submódulos ainda podem ser materializados no contexto da worktree.

Recomendações Atualize para uma versão suportada do go-git v5 ou posterior.