Um CISA Publicou UM Alerta de Alta Gravidade Sobre Sobre uma vulnerabilidada CVE-2025-48384, uma falha de link-seguindo sem git que permissão de gravação arbitrárria de arquivos (cr) cr). Ó Problema Já Está Senda Explorado Em Ataques Reais, Aumentando A Urgência da Correção.
Leia Tamboma
Github Lua Campenha de Segurança
Segurança eFeFaz Depende de Liderança, Clareza e Treinamento contínuo
Uma Surge Falha do Manuseio Unconsistente de Caracteres Cr E Lf .git/config E Outra entradas. Durante a leitura, ó git remove o rmas ao Gravar Uma Entrada Com Cr, Não A Cita Corretamental, Resultando em Perda de Valor ao Reulador. Esse rUM Repositório Malicioso Pode Redirecionar .git/hooks e inserir um gancho pós-checkout Controlado Pelo Invasor. AO REALIZAR O CHECTURA, O CÓDIGO É EXECURADO COM OS PRIVILÉGIOS DO USUARRIO, ABRIRIRO CAMINHO PARA RAVAÇAS ARBITRÁRIAS NO SISTEMA DE ARQUIVOS.
O Problema Está Catalogado COMO CWE-59 (Link a seguir) E CWE-436 (Interpretação da entrada confiável), com Pontuaça CVSS 8.0 (Alta). Os pipelines dos ãos de ãos relevantes de CI/CD E Ambientes de Build, Onde A Falha Pode Levar à Execução de Código Arbitrário, Adulteração de Dadas e Até Compromitimento da Cadeia de Cadeia de Software.
UM Vulnerabilidade Os versões Afeta fazem até 2.50.0, inclusive como Trilhas de Manutenção 2.43.7 A 2.49.1. A ATUALIZAR PARA A ATUALIZAR A VERSÃO 2.50.1 OU APLICAR PACHES CORRESCENTES. Caso Não Seja Possível Corrigir Imediatamente, É Indado Desabilitar a Inicializaça de submódulos Removedor O Script O Script .git/hooks/post-checkout De Ambientes de Desenvolvimento e Pipelines. A CISA REFORÇA AINDA A APLICAÇÃO DOS Controla Definidos na Bod 22-01 Para ambientes em Nuvem, Garantindo Bloqueio Ou ATualizaça forçada de Instalações Vulneráveis.
O Prazo Oficial de Correção Desenvolvimento.
