米国サイバーセキュリティ機関CISAは月曜日、最近発見されたGitの脆弱性が攻撃に悪用されているとして、直ちに修正するよう警告しました。
この脆弱性はCVE-2025-48384(CVSSスコア8.1)として追跡されており、「リカーシブ」フラグを使用するサブモジュール付きリポジトリのクローン作成時に任意のファイルを書き込める問題と説明されています。
この問題は、Gitが設定値を読み込む際に末尾のキャリッジリターン(CR)文字を削除し、書き込み時にそれらを引用しないことが原因で発生します。
そのため、末尾にCRを含むパスでサブモジュールを初期化すると、パスが変更され、サブモジュールが誤った場所にチェックアウトされることになります。
「もしシンボリックリンクが存在し、変更されたパスがサブモジュールのフックディレクトリを指しており、サブモジュールに実行可能なpost-checkoutフックが含まれている場合、チェックアウト後にスクリプトが意図せず実行される可能性があります」とGitのアドバイザリは述べています。
これにより、攻撃者は内部サブモジュールのパスを操作でき、Gitが予期しない場所にファイルを書き込んだり、サブモジュールをこれらの場所で初期化したりすることが可能になります。
Gitプロジェクトが7月8日にCVE-2025-48384のパッチを公開した直後、Datadogはこのバグを標的とした概念実証(PoC)コードが公開されたと警告しました。
「攻撃者は、サブモジュールのパスがキャリッジリターンで終わる悪意のある.gitmodulesファイルを作成できます。Gitの設定パーサの挙動により、この文字は読み込み時には削除されますが、書き込み時には保持されるため、サブモジュール内容の悪意あるリダイレクトが可能となります。シンボリックリンクや特定のリポジトリ構成と組み合わせることで、ファイルシステム全体にわたる任意の書き込みにつながる可能性があります」とDatadogは述べています。
広告。スクロールして続きをお読みください。
このセキュリティ企業は、攻撃者が悪意のあるリポジトリを作成し、それをクローンした際にリモートコード実行が発生する可能性があると警告しました。
ただし、この脆弱性はmacOSおよびLinuxシステムのみに影響します。制御文字の使用方法の違いにより、Windowsマシンはこのセキュリティ欠陥の影響を受けません。この問題はGitバージョン2.43.7、2.44.4、2.45.4、2.46.4、2.47.3、2.48.2、2.49.1、および2.50.1で修正されています。
「これは主に、作業用ワークステーションでGitを使用してコードのバージョン管理を行うソフトウェア開発者に影響しますが、顧客のCI/CDビルドシステムでも脆弱なGitバージョンの使用が確認されています」とDatadogは先月警告しました。
月曜日、CISAはCVE-2025-48384を既知の悪用済み脆弱性(KEV)カタログに追加し、連邦機関に対して9月15日までに修正するよう、バインディング運用指令(BOD)22-01に基づき要請しました。
BOD 22-01は連邦機関のみに適用されますが、すべての組織に対してCISAのKEVリストを確認し、特定されたすべてのセキュリティ欠陥に対して推奨されるパッチや緩和策を適用することが推奨されています。
CVE-2025-48384を悪用した攻撃について記述した公開レポートは現時点では存在しないようです。
関連記事: Apple、標的型攻撃で悪用されたゼロデイを修正
関連記事: 新たなエクスプロイトがSAP NetWeaverインスタンスに脅威
翻訳元: https://www.securityweek.com/organizations-warned-of-exploited-git-vulnerability/