CISA ha emitido una advertencia de alta severidad para CVE-2025-48384, una vulnerabilidad de seguimiento de enlaces en GIT que permite escrituras de archivos arbitrarios a través de los archivos de configuración de retorno de retorno de carro mal configurado.
Este defecto ya ha visto una explotación activa, subrayando la necesidad crítica de mitigación inmediata.
Control de llave
1. CVE-2025-48384 permite a los atacantes abusar del manejo de RC en las configuraciones de Git para escribir archivos arbitrarios.
2. Endangera CI/CD y sistemas de construcción.
3. Actualice y aplique los controles BOD 22-01.
Git Arbitrary File Write Vulnerabilidad
CVE-2025-48384 surge del manejo inconsistente de Git de los caracteres de retorno de carro (CR) de Git en .GIT/config y otras entradas de configuración. Cuando GIT lee un valor de configuración, elimina los caracteres de Feed y Line Feed (LF).
Sin embargo, al escribir una entrada de configuración que termina con un CR, Git no cita el valor, lo que hace que el CR se pierda después de volver a leer. Este comportamiento puede ser abusado durante la inicialización de submódulos:
En este caso, Git Strips \ R on Read, alterando la ruta prevista (por ejemplo, carga útil en lugar de carga útil \ r). Si un enlace Symink con nombre de carga apunta a .git/ganchos, un repositorio clonado puede colocar un gancho posterior a la verificación controlado por el atacante en el directorio de ganchos.
Al pagar, este gancho ejecuta código arbitrario con los privilegios del usuario, lo que permite escrituras de archivos arbitrarios en cualquier lugar del sistema de archivos.
Este defecto se cataloga bajo CWE-59 (enlace siguiente) y CWE-436 (interpretación de la entrada confiable).
Aunque no se ha confirmado ningún enlace directo a las campañas de ransomware, el potencial para la carga de ganchos maliciosos hace que esta vulnerabilidad sea excepcionalmente peligrosa en las tuberías automatizadas de construcción y CI/CD.
Factores de riesgo Versiones de los productos de los productos de la Caída de Detena ≤ 2.50.0 (incluidas las pistas de mantenimiento 2.43.7–2.49.1) Eimpactar BIBITARY File escribe o ejecución de código Explorador de requisitos previos Clone Un apositorio no confiable que contenga un submódulo cuya ruta termina con \ rCVSS 3.1 SUPTER8.0 (alto)
Mitigaciones
CISA aconseja a las organizaciones que apliquen las soluciones detalladas por los mantenedores y proveedores de GIT sin demora.
Actualice GIT a la versión 2.50.1 (y los parches posteriores en las pistas de mantenimiento más antiguas 2.43.7 a 2.49.1) disponibles en los repositorios oficiales de kernel.org.
Para los entornos de desarrollo basados en la nube, implementen controles operativos vinculantes (BOD) 22-01 para hacer cumplir los parches o deshabilitar las instalaciones de GIT vulnerables centralmente.
Si no es factible el parche inmediato, deshabilite la inicialización de submódulos Git o elimine el script .git/ganchos/post-checkout de los corredores de CI/CD y las estaciones de trabajo del desarrollador.
Se insta a todas las organizaciones a tratar esta vulnerabilidad con prioridad urgente, asegurando que los parches se implementen antes del 15 de septiembre de 2025, la fecha de vencimiento oficial para la remediación.
No se aborda el CVE-2025-48384 podría dar lugar a la ejecución de código no autorizada, la manipulación de datos o el compromiso de la cadena de suministro dentro de los ciclos de vida de desarrollo de software crítico.
¡Encuentra esta historia interesante! Séguenos LinkedIn y incógnita Para obtener más actualizaciones instantáneas.
