Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00210

Опубликовано: 06 янв. 2025
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость метода git-upload-pack библиотеки go-git связана с внедрением или модификацией аргументов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказывать влияние на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
GitHub, Inc.

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
РЕД ОС
Red Hat Advanced Cluster Management for Kubernetes
Red Hat OpenShift GitOps
Red Hat OpenShift Container Platform
Red Hat OpenStack Platform
OpenShift Developer Tools and Services
Red Hat OpenShift Virtualization
OpenShift Serverless
Red Hat OpenShift Dev Spaces
OpenShift API for Data Protection
Red Hat Advanced Cluster Security
Red Hat Ceph Storage
Red Hat OpenShift AI (RHOAI)
go-git

Версия ПО

8 (Red Hat Enterprise Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
2 (Red Hat Advanced Cluster Management for Kubernetes)
- (Red Hat OpenShift GitOps)
4 (Red Hat OpenShift Container Platform)
9 (Red Hat Enterprise Linux)
16.2 (Red Hat OpenStack Platform)
- (OpenShift Developer Tools and Services)
4 (Red Hat OpenShift Virtualization)
- (OpenShift Serverless)
17.1 (Red Hat OpenStack Platform)
- (Red Hat OpenShift Dev Spaces)
- (OpenShift API for Data Protection)
4 (Red Hat Advanced Cluster Security)
7 (Red Hat Ceph Storage)
- (Red Hat OpenShift AI (RHOAI))
до 5.13.0 (go-git)

Тип ПО

Операционная система
Сетевое средство
Прикладное ПО информационных систем
ПО программно-аппаратного средства
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 9

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Критический уровень опасности (оценка CVSS 4.0 составляет 9,2)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для библиотеки go-git:
https://github.com/go-git/go-git/security/advisories/GHSA-v725-9546-7q7m
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-21613
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-21613
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 31%
0.00112
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redos логотип

ROS-20250214-02

CVSS3: 9.8
redos
4 месяца назад

Множественные уязвимости grafana

redos логотип

ROS-20250219-03

CVSS3: 9.8
redos
4 месяца назад

Множественные уязвимости trivy

ubuntu логотип

CVE-2025-21613

CVSS3: 9.8
ubuntu
5 месяцев назад

go-git is a highly extensible git implementation library written in pure Go. An argument injection vulnerability was discovered in go-git versions prior to v5.13. Successful exploitation of this vulnerability could allow an attacker to set arbitrary values to git-upload-pack flags. This only happens when the file transport protocol is being used, as that is the only protocol that shells out to git binaries. This vulnerability is fixed in 5.13.0.

redhat логотип

CVE-2025-21613

CVSS3: 8.1
redhat
5 месяцев назад

go-git is a highly extensible git implementation library written in pure Go. An argument injection vulnerability was discovered in go-git versions prior to v5.13. Successful exploitation of this vulnerability could allow an attacker to set arbitrary values to git-upload-pack flags. This only happens when the file transport protocol is being used, as that is the only protocol that shells out to git binaries. This vulnerability is fixed in 5.13.0.

nvd логотип

CVE-2025-21613

CVSS3: 9.8
nvd
5 месяцев назад

go-git is a highly extensible git implementation library written in pure Go. An argument injection vulnerability was discovered in go-git versions prior to v5.13. Successful exploitation of this vulnerability could allow an attacker to set arbitrary values to git-upload-pack flags. This only happens when the file transport protocol is being used, as that is the only protocol that shells out to git binaries. This vulnerability is fixed in 5.13.0.

EPSS

Процентиль: 31%
0.00112
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Уязвимость BDU:2025-00210