美国网络安全与基础设施安全局(CISA)近日警告称,黑客正在利用分布式版本控制系统 Git 中存在的任意代码执行漏洞发动攻击。
该漏洞已被纳入 CISA 的“已知被利用漏洞(KEV)”目录,并要求美国联邦机构最迟于 9 月 15 日前完成修补。
Git 是目前主流的软件版本控制工具,广泛应用于软件开发团队进行代码变更管理,也是 GitHub、GitLab、Bitbucket 等协作平台的核心基础。
此次被利用的漏洞编号为 CVE-2025-48384,风险等级为高危。漏洞源于 Git 在配置文件中对回车符(\r)处理不当。由于 Git 在读写回车符时存在差异,导致子模块路径解析错误。攻击者可通过发布带有以 \r 结尾的子模块和精心构造的恶意符号链接,并在其中设置恶意 Hook,从而在受害者克隆仓库时实现任意代码执行。
Git 已于 2025 年 7 月 8 日发现该漏洞,并发布修复版本,包括 2.43.7、2.44.4、2.45.4、2.46.4、2.47.3、2.48.2、2.49.1 和 2.50.1。
若无法立即更新,官方建议开发者避免从不受信任来源递归克隆子模块,可通过 core.hooksPath 全局禁用 Git Hooks,或仅允许使用经过审计的子模块。
除 Git 漏洞外,CISA 还将两项 Citrix 会话录制(Session Recording)漏洞纳入 KEV 目录。这两项漏洞(CVE-2024-8068 和 CVE-2024-8069)均已于 2024 年 11 月由厂商修复,风险等级为中危。
-
CVE-2024-8068:允许与会话录制服务器同属一个 Active Directory 域的已认证用户,将权限提升至 NetworkService 账户。
-
CVE-2024-8069:允许已认证的内网用户通过反序列化不受信任数据,以 NetworkService 权限实现有限的远程代码执行。
发表评论
您还未登录,请先登录。
登录