Vulnerabilidad en Git (CVE-2025-48386)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-120 Copia de búfer sin comprobación del tamaño de entrada (Desbordamiento de búfer clásico)

Fecha de publicación:

08/07/2025

Última modificación:

10/07/2025

Descripción

Git es un sistema de control de versiones distribuido, rápido y escalable con un conjunto de comandos excepcionalmente completo que proporciona operaciones de alto nivel y acceso completo a los componentes internos. El asistente de credenciales wincred utiliza un búfer estático (target) como clave única para almacenar y comparar con el almacenamiento interno. Este asistente de credenciales no realiza una comprobación de los límites adecuada del espacio disponible en el búfer antes de añadir datos con wcsncat(), lo que puede provocar desbordamientos del búfer. Esta vulnerabilidad está corregida en las versiones v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1 y v2.50.1.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.30 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.30

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/git/git/security/advisories/GHSA-4v56-3xvj-xvfr