|
漏洞概述 |
|||
|
漏洞名称 |
Git 远程代码执行漏洞 |
||
|
漏洞编号 |
CVE-2025-48384 |
||
|
公开时间 |
2025-07-08 |
POC状态 |
已公开 |
|
漏洞类型 |
远程代码执行 |
EXP状态 |
已公开 |
|
利用可能性 |
高 |
技术细节状态 |
已公开 |
|
CVSS 3.1 |
8.0 |
在野利用状态 |
未发现 |
01
影响组件
Git 是一个由 Linus Torvalds 创建的分布式版本控制系统,用于跟踪文件的变化,协调多人协作开发软件。它被广泛应用于软件开发、配置管理和内容管理等领域。
02
漏洞描述
近日,Git 官方披露了一个严重的远程代码执行漏洞(CVE-2025-48384),该漏洞影响多个版本。攻击者可以通过构造特殊的 `.gitmodules` 文件,利用 Git 解析配置文件时对回车符(CR)的处理逻辑缺陷,在受害者使用 git clone 命令时执行任意代码,相当于攻击者获得了受害者系统的"操作权"。
03
漏洞复现
CVE-2025-48384 Git 远程代码执行漏洞
04
漏洞影响范围
CVE-2025-48384影响以下版本的 Git 产品:
Git < 2.43.7
2.44.* <= Git < 2.44.4
2.45.* <= Git < 2.45.4
2.46.* <= Git < 2.46.4
2.47.* <= Git < 2.47.3
2.48.* <= Git < 2.48.2
2.49.* <= Git < 2.49.1
2.50.* <= Git < 2.50.1
05
修复建议
正式防护方案
针对CVE-2025-48384漏洞,Git 官方已经发布了漏洞修复版本,请立即更新到安全版本:
- Git 2.43.7 或更高版本
- Git 2.44.4 或更高版本
- Git 2.45.4 或更高版本
- Git 2.46.4 或更高版本
- Git 2.47.3 或更高版本
- Git 2.48.2 或更高版本
- Git 2.49.1 或更高版本
- Git 2.50.1 或更高版本
临时缓解措施
如果无法立即升级 Git 版本,可以考虑以下临时缓解措施:
1. 尽量只从受信任的源(如官方仓库、知名组织)克隆代码。
2. 避免使用 `--recursive` 或 `--recurse-submodules` 选项克隆不受信任的仓库。
3. 禁用自动子模块初始化。
git config --global submodule.recurse false06
时间线
2025年7月9日,360漏洞研究院发布本安全风险通告。
07
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2025-48384
https://dgl.cx/2025/07/git-clone-submodule-cve-2025-48384
https://github.com/git/git/security/advisories/GHSA-vwqx-4fm8-6qc9
08
更多漏洞情报
建议您订阅360数字安全-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
网址:https://vi.loudongyun.360.net
“洞”悉网络威胁,守护数字安全
关于我们
360 漏洞研究院,隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”,并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个,收获诸多官方公开致谢。研究院也屡次受邀在BlackHat,Usenix Security,Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果,并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力,帮助各大企业厂商不断完善系统安全,为数字安全保驾护航,筑造数字时代的安全堡垒。
原文始发于微信公众号(360漏洞研究院):【已复现】Git 远程代码执行漏洞(CVE-2025-48384)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论