Zraniteľnosti v nástrojoch platformy GitHub možno zneužiť na získanie autentifikačných údajov

Vývojári platformy GitHub vydali bezpečnostné aktualizácie svojich produktov GitHub Desktop, Git LFS, GitHub CLI/Codespaces a Git Credential Manager, ktoré opravujú 4 zraniteľnosti, z čoho 2 sú označené ako vysoko závažné. Zraniteľnosti súhrnne označené ako „Clone2Leak“ možno zneužiť na získanie neoprávneného prístupu k prihlasovacím údajom a autentifikačným tokenom.

Zraniteľné systémy:

• GitHub Desktop vo verziách 3.3.15 a starších
• Git Credential Manager vo verziách 2.6.0 a starších
• Git LFS vo verziách 0.1.0 až 3.6.0
• Git CLI vo verziách 2.62.0 a starších

Opis zraniteľnosti:

GitHub Desktop:

CVE-2025-23040 (CVSS skóre 6,6)

GitHub Desktop pri iniciácii klonovania repozitára na pozadí volá príkaz „git clone“, ktorý si pri klonovaní vzdialeného repozitára vyžadujúceho autentifikáciu od aplikácie vypýta prihlasovacie údaje prostredníctvom protokolu „git-credential“. Podvrhnutím špeciálne vytvorenej URL adresy je zraniteľnosť možné zneužiť na získanie uložených prihlasovacích údajov a OAuth tokenov uložených v aplikácii.

Git Credential Manager:

CVE-2024-50338 (CVSS skóre 7,4)

Zraniteľnosť spočíva v nesúlade spracovania špeciálnych znakov pre ukončenie riadku medzi Git a Git Credential Manager a vzdialený neautentifikovaný útočník by ju podvrhnutím špeciálne vytvorenej URL adresy mohol zneužiť na získanie uložených prihlasovacích údajov.

Git LFS:

CVE-2024-53263 (CVSS skóre 8,5)

Zraniteľnosť spočíva v nesprávnom spracovaní častí URL spracovávaných v rámci „git-credential“ a podvrhnutím špeciálne vytvorenej URL obsahujúcej znaky pre ukončenie riadka (LF – Line Feed, CR – Carriage Return) ju možno zneužiť na získanie prihlasovacích údajov.

Git CLI:

CVE-2024-53858 (CVSS skóre 6,5)

Zraniteľnosť v Github CLI (Command Line Interface) pri klonovaní repozitárov obsahujúcich git submoduly hostované mimo domén github.com a ghe.com umožňuje neoprávnený prístup k autentifikačným tokenom.

Pozn.: Zneužitie všetkých zraniteľností vyžaduje interakciu zo strany používateľa, ktorý musí spustiť klonovanie obsahu (git clone) alebo vykonať interakciu so škodlivým repozitárom pod kontrolou útočníka.

Možné škody:

• Neoprávnený prístup k citlivým údajom

Odporúčania:

Odporúčame vykonať aktualizáciu produktov GitHub Desktop na verziu 3.4.12, Git Credential Manager na verziu 2.6.1, Git LFS na verziu 3.6.1 a Git CLI na verziu 2.63.0.

Zdroje:

• https://github.com/desktop/desktop/security/advisories/GHSA-36mm-rh9q-cpqq
• https://github.com/git-ecosystem/git-credential-manager/security/advisories/GHSA-86c2-4×57-wc8g
• https://github.com/git-lfs/git-lfs/security/advisories/GHSA-q6r2-x2cc-vrp7
• https://github.com/cli/cli/security/advisories/GHSA-jwcm-9g39-pmcw
• https://www.bleepingcomputer.com/news/security/clone2leak-attacks-exploit-git-flaws-to-steal-credentials/