CVE-2025-48384
Mis à jour :
Exécution de Code via la Gestion des Caractères dans Git
Une faille de sécurité identifiée comme CVE-2025-48384 impacte le système de contrôle de version distribué Git. Le problème réside dans la manière dont Git traite les caractères de retour chariot (CR) et de saut de ligne (LF) lors de la lecture et de l’écriture des valeurs de configuration.
Points Clés et Vulnérabilités :
- Manipulation des Caractères: Git retire les séquences CRLF à la fin des valeurs de configuration lors de la lecture. Cependant, lors de l’écriture, les valeurs se terminant par un CR ne sont pas mises entre guillemets, entraînant la perte de ce caractère à la lecture ultérieure.
- Impact sur les Sous-modules: Cette incohérence peut provoquer des problèmes lors de l’initialisation des sous-modules. Si le chemin d’un sous-module contient un CR final, le chemin traité (sans le CR) est utilisé, ce qui peut mener au checkout du sous-module dans un emplacement erroné.
- Exécution de Code Arbitraire: Si un lien symbolique pointe le chemin modifié vers le répertoire des hooks du sous-module, et que ce sous-module possède un hook
post-checkoutexécutable, ce script pourrait être exécuté de manière non intentionnelle après le checkout. Ceci représente un risque d’exécution de code arbitraire.
Recommandations :
La vulnérabilité est corrigée dans les versions suivantes de Git : v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1, et v2.50.1. Il est fortement recommandé de mettre à jour Git vers l’une de ces versions pour se prémunir contre cette faille.