米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2025年8月25日(米国時間)、「CISA Adds Three Known Exploited Vulnerabilities to Catalog|CISA」において、Gitの重大なセキュリティ脆弱性「CVE-2025-48384」が積極的に悪用されていることから、「既知の悪用された脆弱性(KEV: Known Exploited Vulnerability)カタログ」に追加したと発表した。
分散型バージョン管理システム「Git」は、プログラムコードなどのバージョン管理をサポートするソフトウェアだ。Gitを利用したGitHubやGitLabは世界中で利用されており、この脆弱性は多くの開発者に影響を及ぼす可能性がある。
-
CISA Adds Three Known Exploited Vulnerabilities to Catalog|CISA
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
脆弱性の情報(CVE)は次のとおり。
- CVE-2025-48384 - 解釈の競合および不適切なリンク解決の脆弱性。設定ファイル内にキャリッジリターン(CR: Carriage Return)が含まれる場合、サブモジュールパスが正しく解決されない可能性がある。攻撃者はキャリッジリターンで終わるサブモジュールと、細工したシンボリックリンクを含むリポジトリーを公開することで、そのプロジェクトをクローン(clone)したコンピュータ上で任意のコードを実行できる可能性がある(CVSSスコア: 8.0)
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- Git v2.50.0
- Git v2.49.0
- Git v2.48.0からv2.48.1までのバージョン
- Git v2.47.0からv2.47.2までのバージョン
- Git v2.46.0からv2.46.3までのバージョン
- Git v2.45.0からv2.45.3までのバージョン
- Git v2.44.0からv2.44.3までのバージョン
- Git v2.43.6およびこれ以前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- Git v2.50.1およびこれ以降のバージョン
- Git v2.49.1およびこれ以降のバージョン
- Git v2.48.2およびこれ以降のバージョン
- Git v2.47.3およびこれ以降のバージョン
- Git v2.46.4およびこれ以降のバージョン
- Git v2.45.4およびこれ以降のバージョン
- Git v2.44.4およびこれ以降のバージョン
- Git v2.43.7およびこれ以降のバージョン
対策および回避策
この脆弱性の深刻度は重要(Important)と評価されており注意が必要。Gitを利用しているすべてのユーザーには、修正済みバージョンへの速やかなアップデートが推奨されている。速やかなアップデートができない場合は、信頼できないソースからの再帰的クローンを避けることが提案されている。
ランサムウェアの侵入経路はVPNだけではない、LockBit流出データから攻撃・交渉の手口が明らかに
