Агентство кибербезопасности и инфраструктурной безопасности США (CISA) выпустило экстренное предупреждение о активно эксплуатируемой уязвимости в системе контроля версий Git, позволяющей злоумышленникам осуществлять произвольную запись файлов и выполнять вредоносный код. Уязвимость, получившая идентификатор CVE-2025-48384, связана с непоследовательной обработкой возврата каретки (CR) в конфигурационных файлах Git и представляет серьезную угрозу для корпоративных сред разработки.
Детали уязвимостей
Проблема возникает из-за несоответствия в обработке символов: когда Git считывает значение конфигурации, он удаляет завершающие возврат каретки и перевод строки (CRLF). Однако при записи конфигурационной записи значения с завершающим CR не заключаются в кавычки, что приводит к потере этого символа при последующем чтении конфигурации. Эта особенность создает условия для атаки типа Arbitrary File Write via Link Following, когда злоумышленник может манипулировать путями к файлам.
Атакующие могут создать специально сформированный репозиторий с вредоносным путем подмодуля, содержащим завершающий символ CR. В процессе инициализации Git интерпретирует измененный путь и проверяет подмодуль в непредназначенное местоположение. Если символическая ссылка направляет измененный путь в каталог hooks подмодуля, а вредоносный репозиторий содержит исполняемый ху post-checkout, Git непреднамеренно выполнит скрипт злоумышленника после проверки подмодуля.
CISA предупреждает, что данная уязвимость особенно опасна в средах, где пользователи клонируют или обновляют репозитории из непроверенных источников. Получив выполнение кода на рабочих станциях разработчиков, злоумышленники могут повышать привилегии, перемещаться по сети или развертывать программы-вымогатели и другое вредоносное ПО.
Для снижения рисков организациям рекомендуется немедленно применять патчи или обновления конфигурации от поставщиков, устраняющие CVE-2025-48384. Необходимо внедрить строгие контроля доступа к репозиториям Git, ограничивающие возможность добавления и модификации подмодулей. Мониторинг активности репозиториев должен включать отслеживание необычных коммитов или добавлений подмодулей.
Командам безопасности следует убедиться, что конвейеры непрерывной интеграции и доставки (CI/CD) проверяют определения подмодулей и запрещают неожиданные символы в путях. Сетевые средства защиты, такие как системы обнаружения вторжений (IDS), должны быть настроены для проверки трафика протокола Git на аномалии, указывающие на использование данной уязвимости.
Хотя пока неясно, использовалась ли эта уязвимость в кампаниях с программами-вымогателями, риск удаленного выполнения кода требует немедленных действий. Администраторам рекомендуется относиться к этой уязвимости как к приоритетной из-за ее потенциальной возможности компрометации всей инфраструктуры разработки.
Следование директиве CISA Binding Operational Directive (BOD) 22-01 по защите облачных сервисов, использующих Git, становится особенно актуальным. В случаях, когда немедленное применение исправлений невозможно, следует рассмотреть вопрос о временном прекращении использования Git в чувствительных средах.
Учитывая активную эксплуатацию и потенциал для внедрения кода через операции Git, быстрое устранение уязвимости и строгое соблюдение политик безопасности необходимы для защиты от атак на основе вредоносных репозиториев. Разработчики и операторы безопасности должны рассматривать CVE-2025-48384 как непосредственный приоритет для обеспечения киберустойчивости своих систем.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-48384
- https://nvd.nist.gov/vuln/detail/cve-2025-48384
- https://github.com/git/git/security/advisories/GHSA-vwqx-4fm8-6qc9
