Vulnerabilidad en Gitk (CVE-2025-27613)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
10/07/2025
Última modificación:
04/11/2025
Descripción
Gitk es un explorador de historial de Git basado en Tcl/Tk. A partir de la versión 1.7.0, cuando un usuario clona un repositorio no confiable y ejecuta Gitk sin argumentos de comando adicionales, se pueden crear y truncar archivos con permiso de escritura. La opción "Compatibilidad con codificación por archivo" debe estar habilitada previamente en las Preferencias de Gitk. Esta opción está deshabilitada por defecto. Lo mismo ocurre cuando se usa "Mostrar el origen de esta línea" en la ventana principal (independientemente de si "Compatibilidad con codificación por archivo" está habilitada o no). Esta vulnerabilidad está corregida en las versiones 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1 y 2.50.1.
Impacto
Puntuación base 3.x
3.60
Gravedad 3.x
BAJA
Referencias a soluciones, herramientas e información
- https://github.com/j6t/gitk/compare/465f03869ae11acd04abfa1b83c67879c867410c..026c397d911cde55924d7eb1311d0fd6e2e105d5
- https://github.com/j6t/gitk/compare/7dd272eca153058da2e8d5b9960bbbf0b4f0cbaa..67a128b91e25978a15f9f7e194d81b441d603652
- https://github.com/j6t/gitk/security/advisories/GHSA-f3cw-xrj3-wr2v
- http://www.openwall.com/lists/oss-security/2025/07/08/4
- https://lists.debian.org/debian-lts-announce/2025/10/msg00003.html