Vulnerabilidad en Git (CVE-2025-48385)
Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/07/2025
Última modificación:
10/07/2025
Descripción
Git es un sistema de control de revisiones distribuido, rápido y escalable, con un conjunto de comandos excepcionalmente completo que proporciona operaciones de alto nivel y acceso completo a su funcionamiento interno. Al clonar un repositorio, Git puede obtener opcionalmente un paquete anunciado por el servidor remoto, lo que permite al servidor transferir partes del clon a una CDN. El cliente Git no realiza una validación suficiente de los paquetes anunciados, lo que permite al servidor remoto realizar una inyección de protocolo. Esta inyección de protocolo puede provocar que el cliente escriba el paquete obtenido en una ubicación controlada por el atacante. El contenido obtenido está totalmente controlado por el servidor, lo que, en el peor de los casos, puede provocar la ejecución de código arbitrario. El uso de URI de paquete no está habilitado por defecto y se puede controlar mediante la opción de configuración bundle.heuristic. En algunos casos de vulnerabilidad, el atacante debe controlar la ubicación de clonación de un repositorio. Esto requiere ingeniería social o una clonación recursiva con submódulos. Por lo tanto, estos casos se pueden evitar deshabilitando las clonaciones recursivas. Esta vulnerabilidad se ha corregido en v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1 y v2.50.1.
Impacto
Puntuación base 4.0
8.60
Gravedad 4.0
ALTA