CVE-2025-48384
Mis à jour :
Exécution de code via le contrôle de version Git
Une faille de sécurité affecte Git, un système de gestion de versions distribué. Elle découle de la manière dont le système traite les caractères de retour chariot (CR) et de saut de ligne (LF) lors de la lecture et de l’écriture de valeurs de configuration.
Points Clés :
- Git supprime les caractères CRLF finaux lors de la lecture d’une valeur de configuration.
- Lors de l’écriture, les valeurs contenant un CR final ne sont pas entre guillemets, ce qui entraîne la perte du CR lors de la lecture ultérieure de la configuration.
- Cela peut causer des problèmes lors de l’initialisation de sous-modules si le chemin du sous-module contient un CR final. Le chemin modifié, sans le CR, est alors lu, entraînant un checkout du sous-module à un emplacement incorrect.
Vulnérabilité :
- CVE-2025-48384 : Cette vulnérabilité peut potentiellement mener à une exécution de code arbitraire. Si un lien symbolique existe, pointant le chemin modifié vers le répertoire des hooks du sous-module, et que le sous-module contient un hook de post-checkout exécutable, le script peut être exécuté à l’insu de l’utilisateur après le checkout.
Recommandations :
- Mettre à jour Git vers une version corrigée. Les versions affectées sont corrigées dans les versions suivantes : v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1, et v2.50.1.