CISA 敦促联邦机构立即修补 Git 可远程代码执行的任意文件写入漏洞

美国网络安全机构 CISA 周一警告称，Git 最近的一个漏洞已被利用进行攻击，并敦促联邦机构立即修补。

该漏洞编号为 CVE-2025-48384（CVSS 评分为 8.1），是指在克隆使用“递归”标志的子模块存储库期间进行的任意文件写入。

存在该问题的原因是，在读取配置值时，Git 会删除尾随的回车符 (CR)，并且在写入时不会引用它们。

因此，使用包含尾随 CR 的路径初始化子模块会导致路径改变，并且子模块被检出到不正确的位置。

Git 的建议写道： “如果存在一个符号链接，将改变的路径指向子模块钩子目录，并且子模块包含可执行的签出后钩子，则该脚本可能会在签出后无意中执行。”

这使得攻击者可以操纵内部子模块路径，从而导致 Git 将文件写入意外位置并在这些位置初始化子模块。

Git 项目于 7 月 8 日发布 CVE-2025-48384 补丁后不久，Datadog 警告称，针对该漏洞的概念验证 (PoC) 代码已经发布。

Datadog 表示：“攻击者可以构建一个恶意的 .gitmodules 文件，其中子模块路径以回车符结尾。由于 Git 的配置解析器行为，此字符在读取时可能会被剥离，但在写入时会保留，从而允许恶意重定向子模块内容。当与符号链接或某些存储库布局结合使用时，这可能导致文件系统中的任意写入。 ”

该安全公司警告称，攻击者可以通过创建恶意存储库来利用该漏洞，克隆后将导致远程代码执行。

该漏洞仅影响 macOS 和 Linux 系统。由于控制字符使用方式的差异，Windows 系统不受该安全缺陷的影响。

漏洞已在 Git 2.43.7、2.44.4、2.45.4、2.46.4、2.47.3、2.48.2、2.49.1 和 2.50.1 版本中得到解决。

Datadog 上个月警告称：“这将在很大程度上影响在工作站上使用 Git 来控制代码版本的软件开发人员，但我们也发现客户 CI/CD 构建系统中存在易受攻击的 Git 版本。”

周一，CISA 将 CVE-2025-48384 添加到其已知被利用漏洞 ( KEV ) 目录中，敦促联邦机构在 9 月 15 日之前对其进行修补。