1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. Gitと関連サービスの脆弱性により認証情報が漏洩

Gitと関連サービスの脆弱性により認証情報が漏洩

セキュリティニュース

投稿日時: 更新日時:

Gitと関連サービスの脆弱性により認証情報が漏洩

GMO Flatt Security株式会社のセキュリティリサーチャーのRyotaK氏はGit クライアントに資格情報を自動的に提供する GitHub Desktop の機能に、細工された URL を指す悪意のあるリポジトリが資格情報を漏洩できる脆弱性が含まれていることを 発見しました。

脆弱性 CVE-2025-23040の概要

GitHub Desktopにおいてキャリッジリターンの取り扱いが不適切であるため、CVE-2024-52006と組み合わせることでGitの認証情報が漏洩する問題

脆弱性 CVE-2024-52006の概要

Gitにおける、クレデンシャルヘルパーに対してキャリッジリターンを送信してしまう問題

脆弱性 CVE-2024-50338の概要

Git Credential Managerにおいてキャリッジリターンの取り扱いが不適切であるため、CVE-2024-52006と組み合わせることでGitの認証情報が漏洩する問題

脆弱性 CVE-2024-53263の概要

Git LFSにおいて、クレデンシャルヘルパーに対して改行文字を送信してしまい、Gitの認証情報が漏洩する問題

脆弱性 CVE-2024-53858の概要

GitHub CLIをGitHub Codespaces上で実行した際、任意のホストに対してGitHub.com用のアクセストークンを送信してしまう問題

GitHubの対応

GitHub は、CVE-2024-50349 および CVE-2024-52006 を報告した RyotaK氏 に感謝し

・GitHub Desktop バージョン 3.4.12 で CVE-2025-23040 を修正

・Git LFS バージョン 3.6.1 で CVE-2024-53263 を修正しGit Credential Manager バージョン 2.6.1 で CVE-2024-50338 を修正したことを発表しました。

関連記事

XZ Utilsにバックドアが仕込まれていた (CVE-2024-3094)XZ Utilsにバックドアが仕込まれていた (CVE-2024-3094) Docker Desktopで危険な脆弱性(CVE-2024-8695 、CVE-2024-8696)Docker Desktopで危険な脆弱性(CVE-2024-8695 、CVE-2024-8696) トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283)Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283) 北朝鮮のIT労働者に脅かされる日本企業の調査レポート北朝鮮のIT労働者が日本企業で偽装就労か 実態とセキュリティリスクを解説 SonicWallの重大な脆弱性(CVE-2024-40766)が悪用される可能性SonicWallの重大な脆弱性(CVE-2024-40766)を ランサムウェア 攻撃グループAkiraが悪用 Windows Update の欠陥で「パッチ解除」が行われるダウングレード攻撃が可能にWindows Update の欠陥で「パッチ解除」が行われるダウングレード攻撃が可能に Default Thumbnail東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性 ZOOMが深刻度の高い脆弱性を修正(CVE-2024-39825)ZOOMが深刻度の高い脆弱性を修正(CVE-2024-39825)