Američka sajber bezbjednosna agencija CISA upozorila je u ponedjeljak da je nedavna ranjivost u Git-u već iskorišćena u napadima, pozivajući na hitno zakrpljivanje.
Greška, praćena kao CVE-2025-48384 (CVSS ocjena 8.1), opisana je kao proizvoljno upisivanje fajlova tokom kloniranja repozitorijuma sa submodulima koji koriste opciju ‘recursive’.
Problem nastaje zato što Git, prilikom čitanja konfiguracionih vrijednosti, uklanja završne znakove povratka reda (CR), ali ih ne stavlja pod navodnike kada upisuje.
Tako inicijalizacija submodula sa putanjom koja sadrži završni CR dovodi do izmijenjenih putanja i do toga da se submodul smjesti na pogrešnu lokaciju.
„Ako postoji symlink koji usmjerava izmijenjenu putanju ka direktorijumu sa hook-ovima submodula, i submodul sadrži izvršni post-checkout hook, skripta se može nenamjerno pokrenuti nakon checkout-a“, navodi se u Git upozorenju.
Ovo omogućava hakerima da manipulišu internim putanjama submodula, što rezultira time da Git upisuje fajlove na neočekivane lokacije i inicijalizuje submodule na tim mjestima.
Nedugo nakon što je Git projekat objavio zakrpe za CVE-2025-48384, 8. jula, kompanija Datadog upozorila je da je objavljen proof-of-concept (PoC) kod za iskorišćavanje greške.
„Napadač može napraviti maliciozni .gitmodules fajl sa submodulskim putanjama koje se završavaju znakom povratka reda. Zbog ponašanja Git parsera, ovaj znak može biti uklonjen prilikom čitanja, ali sačuvan prilikom upisa, što omogućava maliciozno preusmjeravanje sadržaja submodula. Kada se kombinuje sa symlink-ovima ili određenim rasporedima repozitorijuma, to može dovesti do proizvoljnog upisa po fajl sistemu“, upozorio je Datadog.
Bezbjednosna firma je dodala da hakeri mogu iskoristiti ranjivost kreiranjem malicioznih repozitorijuma koji, kada se kloniraju, dovode do udaljenog izvršavanja koda.
Ranjivost pogađa samo macOS i Linux sisteme. Razlike u korišćenju kontrolnih karaktera čine Windows mašine otpornim na ovu grešku. Problem je riješen u verzijama Git-a 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1 i 2.50.1.
„Ovo će prvenstveno pogoditi softverske developere koji koriste Git na radnim stanicama za verzionisanje koda, ali smo takođe identifikovali upotrebu ranjivih verzija Git-a i u CI/CD build sistemima kod korisnika“, saopštio je Datadog prošlog mjeseca.
U ponedjeljak je CISA dodala CVE-2025-48384 na svoju listu poznatih eksploatisanih ranjivosti (KEV), zahtijevajući od federalnih agencija da je zakrpe do 15. septembra, u skladu sa obavezujućom direktivom (BOD) 22-01.
Iako se BOD 22-01 odnosi isključivo na federalne agencije, svim organizacijama se savjetuje da pregledaju CISA KEV listu i primijene preporučene zakrpe i mjere ublažavanja za sve identifikovane bezbjednosne propuste.
Za sada ne postoje javni izvještaji o napadima koji eksploatišu CVE-2025-48384.
Izvor: SecurityWeek