Vulnerabilidad en go-git (CVE-2026-25934)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

09/02/2026

Última modificación:

20/02/2026

Descripción

go-git es una biblioteca de implementación de git altamente extensible escrita en Go puro. Antes de la versión 5.16.5, se descubrió una vulnerabilidad en go-git por la cual los valores de integridad de datos para los archivos .pack y .idx no se verificaban correctamente. Esto resultaba en que go-git podía consumir archivos corruptos, lo que probablemente provocaría errores inesperados como &#39;objeto no encontrado&#39;. Para contextualizar, los clientes obtienen los packfiles de los servidores Git ascendentes. Esos archivos contienen una suma de verificación (checksum) de sus contenidos, para que los clientes puedan realizar comprobaciones de integridad antes de consumirlos. Los índices pack (.idx) son generados localmente por go-git, o por la CLI de git, cuando se reciben y procesan nuevos archivos .pack. Las comprobaciones de integridad para ambos archivos no se estaban verificando correctamente. Esta vulnerabilidad está corregida en la versión 5.16.5.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno