Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-08691

Опубликовано: 08 июл. 2025
Источник: fstec
CVSS3: 8
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость распределенной системы контроля версий Git средства разработки программного обеспечения Microsoft Visual Studio связана с возникновением конфликта интерпретаций. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

ООО «Ред Софт»
ООО «РусБИТех-Астра»
АО «НТЦ ИТ РОСА»
АО «ИВК»
Microsoft Corp
Linus Torvalds, Junio Hamano
АО «СберТех»
АО "НППКТ"

Наименование ПО

РЕД ОС
Astra Linux Special Edition
РОСА ХРОМ
АЛЬТ СП 10
Microsoft Visual Studio 2017
Microsoft Visual Studio 2019
Microsoft Visual Studio 2022
Git
Platform V SberLinux OS Server
ОСОН ОСнова Оnyx

Версия ПО

7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
12.4 (РОСА ХРОМ)
- (АЛЬТ СП 10)
от 15.0 до 15.8 включительно (Microsoft Visual Studio 2017)
от 16.0 до 16.10 включительно (Microsoft Visual Studio 2019)
1.8 (Astra Linux Special Edition)
17.12 (Microsoft Visual Studio 2022)
17.10 (Microsoft Visual Studio 2022)
17.8 (Microsoft Visual Studio 2022)
17.14 (Microsoft Visual Studio 2022)
2.50.0 (Git)
2.49.0 (Git)
от 2.48.0 до 2.48.1 включительно (Git)
от 2.47.0 до 2.47.2 включительно (Git)
от 2.46.0 до 2.46.3 включительно (Git)
от 2.45.0 до 2.45.3 включительно (Git)
от 2.44.0 до 2.44.3 включительно (Git)
2.43.6 (Git)
9.1 (Platform V SberLinux OS Server)
до 2.14 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
АО «СберТех» Platform V SberLinux OS Server 9.1
АО "НППКТ" ОСОН ОСнова Оnyx до 2.14

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Git GUI:
https://github.com/git/git/security/advisories/GHSA-vwqx-4fm8-6qc9
Для продуктов Microsoft:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-48384
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Компенсирующие меры:
- избегать рекурсивного клонирования подмодулей в ненадёжных репозиториях.
Для ОС Astra Linux:
обновить пакет git до 1:2.43.0-1ubuntu7.3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Astra Linux:
обновить пакет git до 1:2.30.2-1+deb11u4.astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Обновление программного обеспечения git до версии 1:2.50.1-0.1
Для ОС Astra Linux:
обновить пакет git до 1:2.30.2-1+deb11u4.astra6 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
Для операционной системы РОСА ХРОМ:
https://abf.rosa.ru/advisories/ROSA-SA-2025-3019

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 81%
0.01498
Низкий

8 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20250807-04

CVSS3: 8.6
redos
3 месяца назад

Множественные уязвимости git

ubuntu логотип

CVE-2025-48384

CVSS3: 8
ubuntu
4 месяца назад

Git is a fast, scalable, distributed revision control system with an unusually rich command set that provides both high-level operations and full access to internals. When reading a config value, Git strips any trailing carriage return and line feed (CRLF). When writing a config entry, values with a trailing CR are not quoted, causing the CR to be lost when the config is later read. When initializing a submodule, if the submodule path contains a trailing CR, the altered path is read resulting in the submodule being checked out to an incorrect location. If a symlink exists that points the altered path to the submodule hooks directory, and the submodule contains an executable post-checkout hook, the script may be unintentionally executed after checkout. This vulnerability is fixed in v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1, and v2.50.1.

redhat логотип

CVE-2025-48384

CVSS3: 8
redhat
4 месяца назад

Git is a fast, scalable, distributed revision control system with an unusually rich command set that provides both high-level operations and full access to internals. When reading a config value, Git strips any trailing carriage return and line feed (CRLF). When writing a config entry, values with a trailing CR are not quoted, causing the CR to be lost when the config is later read. When initializing a submodule, if the submodule path contains a trailing CR, the altered path is read resulting in the submodule being checked out to an incorrect location. If a symlink exists that points the altered path to the submodule hooks directory, and the submodule contains an executable post-checkout hook, the script may be unintentionally executed after checkout. This vulnerability is fixed in v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1, and v2.50.1.

nvd логотип

CVE-2025-48384

CVSS3: 8
nvd
4 месяца назад

Git is a fast, scalable, distributed revision control system with an unusually rich command set that provides both high-level operations and full access to internals. When reading a config value, Git strips any trailing carriage return and line feed (CRLF). When writing a config entry, values with a trailing CR are not quoted, causing the CR to be lost when the config is later read. When initializing a submodule, if the submodule path contains a trailing CR, the altered path is read resulting in the submodule being checked out to an incorrect location. If a symlink exists that points the altered path to the submodule hooks directory, and the submodule contains an executable post-checkout hook, the script may be unintentionally executed after checkout. This vulnerability is fixed in v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1, and v2.50.1.

msrc логотип

CVE-2025-48384

msrc
4 месяца назад

GitHub: CVE-2025-48384 Git Symlink Vulnerability

EPSS

Процентиль: 81%
0.01498
Низкий

8 High

CVSS3

7.1 High

CVSS2