Vulnerabilidad en GitProxy (CVE-2025-54586)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
30/07/2025
Última modificación:
01/08/2025
Descripción
GitProxy es una aplicación que se interpone entre los desarrolladores y un endpoint remoto de Git. En las versiones 1.19.1 y anteriores, los atacantes pueden inyectar commits adicionales en el paquete enviado a GitHub, commits que no están dirigidos por ninguna rama. Aunque estos commits "ocultos" nunca aparecen en el historial visible del repositorio, GitHub los muestra en sus URL de commit directo. Esto permite a un atacante extraer datos confidenciales sin dejar rastro en la vista de la rama. Esta vulnerabilidad se considera de alto impacto porque compromete completamente la confidencialidad del repositorio. Se ha corregido en la versión 1.19.2.
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:finos:gitproxy:*:*:*:*:*:*:*:* | 1.19.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/finos/git-proxy/commit/9c1449f4ec37d2d1f3edf4328bc3757e8dba2110
- https://github.com/finos/git-proxy/commit/a620a2f33c39c78e01783a274580bf822af3cc3a
- https://github.com/finos/git-proxy/releases/tag/v1.19.2
- https://github.com/finos/git-proxy/security/advisories/GHSA-v98g-8rqx-g93g
- https://github.com/finos/git-proxy/security/advisories/GHSA-v98g-8rqx-g93g