Неправилното обработване на съобщения в протокола за извличане на пълномощия на Git може да е позволило на атакуващите да измъкнат пълномощията на потребителите, казва изследователят по сигурността RyotaK.

Git извлича информация за влизане в системата, съхранена в специфични помощни програми за удостоверения, като използва протокола за удостоверения, който е текстов през стандартен вход/изход и разчита на редове от двойки ключ-стойност.

Както Git, така и помощникът за удостоверенията анализират съобщенията, които са разделени със символ за нов ред, и са въведени определени защити, за да се предотврати инжектирането на свойства.

RyotaK откри, че функцията в GitHub Desktop, която автоматично предоставя пълномощни на клиент на Git, съдържа уязвимост, която позволява на злонамерено хранилище, сочещо към изработен URL адрес, да изтегли пълномощното.

Проследен като CVE-2025-23040, проблемът представлява грешка, свързана с контрабанда на връщане на карета, и съществува поради разлики в начина на разделяне на редовете в протокола за упълномощаване на Git и в спецификацията на регулярния израз в ECMAScript.

Поради тази разлика, когато се анализира изработеният URL адрес, Git и GitHub Desktop разпознават хоста по различен начин, като по-късният връща информацията за вход за акаунта в GitHub вместо за клиента.

Изследователят по сигурността, който е нарекъл атаката Clone2Leak, е открил подобен дефект в сигурността в Git Credential Manager, междуплатформен помощник за удостоверения за Git, проследен като CVE-2024-50338. И двата дефекта са резултат от неправилната обработка на символа за връщане на карета от помощния инструмент за удостоверения, отбелязва RyotaK.

Въпреки че Git предотвратява инжектирането на нов ред, Git LFS, разширение за управление на големи файлове, което се поражда като дъщерен процес на Git, използва функция, която позволява използването на знака за нов ред, с което може да се злоупотреби, за да се заобиколят защитите на Git. Уязвимостта се проследява като CVE-2024-53263.

За да реши проблемите с контрабандата на символа за крайна реда, Git добави нова проверка в протокола за удостоверения, която ще отхвърля URL адреси, които съдържат символа за връщане. Git обяви кръпки за проблема, проследен като CVE-2024-52006, на 14 януари.

„Когато използва помощник за упълномощаване, Git използва протокол, базиран на ред, за да предава информация между себе си и помощника за упълномощаване. Специално създаден URL адрес, съдържащ символа за връщане на реда, може да се използва за инжектиране на непреднамерени стойности в потока на протокола, което да накара помощника да изтегли паролата за един сървър, докато я изпраща на друг“, обяснява GitHub.

Версия 2.48.1 на Git разрешава проблема, като също така отстранява CVE-2024-50349 – уязвимост, която позволява на нападателите да създават URL адреси, съдържащи ANSI escape последователности, и да конструират подвеждащи подкани, които могат да подмамят потребителите да предоставят идентификационни данни на нападателите.

„Когато Git трябва да попълни идентификационни данни интерактивно, без да използва помощник за идентификационни данни, той отпечатва името на хоста и иска от потребителя да попълни съответната двойка потребителско име/парола за този хост. Въпреки това Git извежда името на хоста, след като го декодира по URL“, отбелязва GitHub.

Като отдава дължимото на RyotaK за съобщаването на CVE-2024-50349 и CVE-2024-52006, GitHub обяви, че GitHub Desktop версия 3.4.12 поправя CVE-2025-23040, Git LFS версия 3.6.1 поправя CVE-2024-53263, а Git Credential Manager версия 2.6.1 поправя CVE-2024-50338.

По-рано подобни уязвимости бяха открити в GitHub Codespaces и GitHub CLI, като една от тях доведе до изтичане на идентификационни данни при клониране на злонамерено хранилище в GitHub Codespaces с помощта на GitHub CLI, а друга – до изтичане на GitHub токена, тъй като Git не успя да валидира правилно параметрите „host“.