GMOインターネットグループは1月27日、「GMO Flatt SecurityのRyotaKがGitの認証情報漏洩につながる|GMOインターネットグループ株式会社」において、分散型バージョン管理システムの「Git」およびGit関連アプリから複数の脆弱性を発見したと伝えた。
これら脆弱性を悪用されると、攻撃者に認証情報を窃取される可能性がある。
-
GMO Flatt SecurityのRyotaKがGitの認証情報漏洩につながる|GMOインターネットグループ株式会社
脆弱性の情報
脆弱性に関する情報は次のページにまとまっている。
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-52006 - Git資格情報プロトコル(Git Credential Protocol)に不完全な改行文字取り扱いの脆弱性。改行文字を改行として取り扱う資格情報ヘルパーの「CVE-2020-5260」に対する防御が不完全になる(CVSSスコア: 2.1)
- CVE-2025-23040 - GitHub Desktopに不適切な正規表現の脆弱性。悪意のあるリポジトリをcloneすると、認証情報を漏洩する可能性がある(CVSSスコア: 6.6)
- CVE-2024-50338 - Git資格情報マネージャー(Git Credential Manager)に不適切なメッセージ解析の脆弱性。悪意のあるリポジトリーのcloneや、その他の操作の際に認証情報を漏洩する可能性がある(CVSSスコア: 7.4)
- CVE-2024-53263 - Git Large File Storage(Git LFS)に不適切なサニタイズの脆弱性。悪意のあるリポジトリを操作する際に認証情報を漏洩する可能性がある(CVSSスコア: 8.5)
- CVE-2024-53858 - GitHub CLIに不適切な認証トークン送信の脆弱性。特定の環境変数が設定されている場合、悪意のあるリポジトリをcloneすると認証トークンを漏洩する可能性がある(CVSSスコア: 6.5)
脆弱性が存在する製品
脆弱性が存在する製品およびバージョンは次のとおり。
- Git v2.48.1よりも前のバージョン
- Git v2.47.2よりも前のバージョン
- Git v2.46.3よりも前のバージョン
- Git v2.45.3よりも前のバージョン
- Git v2.44.3よりも前のバージョン
- Git v2.43.6よりも前のバージョン
- Git v2.42.4よりも前のバージョン
- Git v2.41.3よりも前のバージョン
- Git v2.40.4よりも前のバージョン
- GitHub Desktop 3.4.12よりも前のバージョン
- Git Credential Manager v2.6.1よりも前のバージョン
- Git LFS v3.6.1よりも前のバージョン
- GitHub CLI 2.63.0よりも前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- Git v2.48.1
- Git v2.47.2
- Git v2.46.3
- Git v2.45.3
- Git v2.44.3
- Git v2.43.6
- Git v2.42.4
- Git v2.41.3
- Git v2.40.4
- GitHub Desktop 3.4.12
- Git Credential Manager v2.6.1
- Git LFS v3.6.1
- GitHub CLI 2.63.0
推奨される対策
これら脆弱性は複数の製品から発見された。各製品の主なWebサイトは次のとおり。
- Git
- GitHub Desktop
- GitHub - git-ecosystem/git-credential-manager
- Git Large File Storage
- GitHub - cli/cli
これら製品を利用しているユーザーは脆弱性の影響を回避するため、各アドバイザリーを確認の上、最新バージョンにアップデートすることが推奨されている。
