米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Gitの分散型バージョン管理システムにおける任意のコード実行の脆弱性がハッカーに悪用されていると警告しています。
同庁はこの脆弱性を既知の悪用済み脆弱性(KEV)カタログに追加し、連邦機関に対してパッチ適用の期限を9月15日と定めました。
Gitバージョン管理システムは、ソフトウェア開発チームがコードベースの変更を時系列で追跡できるようにします。このライブラリは現代のソフトウェア協業の基盤であり、GitHub、GitLab、Bitbucketなどのプラットフォームの基礎となっています。
悪用されているGitの脆弱性は高い深刻度のスコアを持ち、CVE-2025-48384として追跡されています。この脆弱性は、Gitが設定ファイル内のキャリッジリターン(\r)文字を正しく処理できないことに起因しています。
Gitがこれらの文字を書き込む際と読み込む際の処理に不一致があるため、サブモジュールのパス解決が誤って行われます。
攻撃者は、\rで終わるサブモジュールと細工されたシンボリックリンク、悪意のあるフック設定を持つリポジトリを公開することで、この問題を悪用し、クローンしたユーザーのマシン上で任意のコードを実行できます。
Gitは2025年7月8日にこの問題を発見し、以下のバージョンで修正を提供しました:2.43.7、2.44.4、2.45.4、2.46.4、2.47.3、2.48.2、2.49.1、2.50.1。
アップデートが不可能な場合は、信頼できないソースからの再帰的なサブモジュールクローンを避ける、core.hooksPathでGitフックをグローバルに無効化する、または監査済みサブモジュールのみを許可することが推奨されています。
Gitの脆弱性とあわせて、CISAはKEVカタログに、ベンダーが2024年11月に修正したCitrix Session Recordingの2つの脆弱性(CVE-2024-8068およびCVE-2024-8069)も追加しました。両方のセキュリティ問題は中程度の深刻度スコアを受けています。
CVE-2024-8068は、Session Recordingサーバーと同じActive Directoryドメイン内の認証済みユーザーがNetworkServiceアカウントへの権限昇格を行える脆弱性です。
CVE-2024-8069は、認証済みイントラネットユーザーが信頼されていないデータのデシリアライズを通じて、NetworkService権限で限定的なリモートコード実行を達成できる脆弱性です。
これらの脆弱性は、Citrix Session Recordingの2407 hotfix 24.5.200.8(CR)より前、1912 LTSRのCU9 hotfix 19.12.9100.6より前、2203 LTSRのCU5 hotfix 22.03.5100.11より前、2402 LTSRのCU1 hotfix 24.02.1200.16より前のバージョンに影響します。
CISAは、組織に対しても同じく9月15日までにベンダーが提供する修正を適用するか、製品の使用を中止するよう求めています。
