El proyecto Git lanzó hoy nuevas versiones para abordar siete vulnerabilidades de seguridad que afectan a todas las versiones anteriores. Estos problemas involucran tanto las funciones básicas de Git como sus interfaces gráficas, Gitk y Git GUI, las cuales son utilizadas para interactuar con repositorios de Git.
La primera vulnerabilidad notable, CVE-2025-48384, se presenta cuando Git lee un valor de configuración con caracteres de retorno de carro y nueva línea al final, pero no los cita correctamente al escribirlo. Esto puede resultar en que un submódulo se registre incorrectamente, permitiendo a un atacante ejecutar código arbitrario mediante el gancho post-checkout.
Otra vulnerabilidad, CVE-2025-48385, afecta el proceso de clonación de repositorios. Git puede aceptar paquetes bundle de fuentes no verificadas, lo que podría permitir a un atacante ejecutar un protocolo de inyección y escribir datos en ubicaciones arbitrarias, facilitando la ejecución de código malicioso.
En entornos Windows, CVE-2025-48386 expone problemas con el uso del gestor de credenciales wincred, que podría llevar a desbordamientos de búfer debido a una falta de verificación adecuada del espacio en el búfer.
Además, se han identificado cuatro nuevas fallas en Gitk y Git GUI. CVE-2025-27613 y CVE-2025-27614 afectan el funcionamiento de Gitk, permitiendo la ejecución de código arbitrario si se manipulan repositorios especialmente modificados. CVE-2025-46334 y CVE-2025-46335 involucran problemas con la búsqueda de ejecutables en Windows y la posibilidad de sobrescribir archivos en Git GUI.
La solución a estas vulnerabilidades radica en actualizar a Git 2.50.1, la última versión que incluye correcciones. Mientras tanto, se recomienda evitar clonar submodulos de repositorios no confiables, desactivar la opción de URIs de paquetes automáticos, evitar el uso de wincred en Windows, y no ejecutar Gitk y Git GUI en repositorios no confiables.
GitHub ha iniciado actualizaciones proactivas para sus herramientas GitHub Desktop, Codespaces y Actions. Afortunadamente, los servidores empresariales de GitHub no se ven afectados por estas vulnerabilidades.
Estas vulnerabilidades fueron descubiertas y corregidas por un equipo de expertos, incluyendo a David Leadbeater, Justin Tobler, Patrick Steinhardt, Taylor Blau, Jeff King, entre otros colaboradores.
vÃa: Github Open Source
