Selon le Root Security Bulletin (www.root.io, 26 août 2025), une vulnérabilité critique de Git (CVE-2025-48384) est activement exploitée et a été ajoutée au catalogue KEV de la CISA, avec une date butoir de remédiation fixée au 15 septembre 2025 pour les agences fédérales américaines.
⚠️ Impact et portée
- Type : vulnérabilité permettant une exécution de code à distance (RCE) via des dépôts Git malveillants.
- Systèmes affectés : Linux et macOS (contrôle des caractères dans les noms de fichiers autorisé).
- Non affecté : Windows (restrictions du système de fichiers).
- Produits/Usages à risque : GitHub Desktop pour macOS (clonage récursif par défaut), pipelines CI/CD.
- Gravité : CVSS v3.1 8.0 (High) — Vector: AV:N/AC:H/PR:L/UI:R/S:C/C:H/I:H/A:H.
🧪 Détails techniques
- Incohérence de parsing de configuration :
- À la lecture, Git supprime les CRLF de fin de valeur.
- À l’écriture, les valeurs finissant par CR ne sont pas correctement échappées/quotées, créant un décalage à la relecture.
- Exploitation via un .gitmodules malveillant avec des chemins de sous-modules finissant par CR, combiné à des répertoires de hooks symlinkés et des hooks post-checkout exécutables, permettant des écritures de fichiers arbitraires menant à la RCE.
- Scénario d’attaque : un git clone –recursive sur un dépôt piégé peut initialiser des sous-modules dans des emplacements inattendus du système de fichiers. Des chercheurs (liamg, acheong08, et autres) ont publié des PoC confirmant l’exploitabilité.
📦 Versions concernées / Correctifs
- Versions affectées : Git < v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1, v2.50.1.
- Réponse des distributions : Ubuntu a publié des correctifs immédiats ; Debian a classé « no-dsa », reportant la correction à de futures point releases, laissant de nombreux environnements Debian exposés (Bookworm, Bullseye, Trixie).
🗓️ Chronologie
- 8 juil. 2025 : divulgation par le projet Git et publications des correctifs sur huit branches.
- 9–15 juil. 2025 : publication de plusieurs PoC par des chercheurs.
- 8 août 2025 : Root teste, backporte et déploie des correctifs pour Debian Bookworm/Bullseye/Trixie et variantes Slim.
- 15 août 2025 : Debian marque « no-dsa ».
- 25 août 2025 : CISA ajoute la CVE au KEV, avec échéance de remédiation au 15 sept. 2025 pour les agences fédérales US.
🛠️ Recommandations (issues du bulletin)
- Pour utilisateurs Debian :
- Vérifier l’exposition (ex. via Trivy ou scanners d’entreprise).
- Mesures court terme : éviter git clone –recursive sur dépôts non sûrs ; inspecter .gitmodules avant d’initialiser les sous-modules ; envisager de compiler une version corrigée de Git si possible.
- Pour utilisateurs Root : correctifs déployés automatiquement depuis le 8 août (vérification via Artifact Explorer, remediation à la demande en <5 minutes). Disponibles aussi via partenaires (ex. Aikido, Trivy avancé).
- Pour non-clients : remédiation gratuite via app.root.io.
🔎 IOCs et TTPs
- IOCs : aucun communiqué dans le bulletin.
- TTPs :
- Abus de .gitmodules avec chemins se terminant par CR.
- Écritures de fichiers arbitraires via incohérences de parsing/quoting.
- Redirection de hooks (répertoires de hooks symlinkés) et post-checkout exécutable.
- Déclenchement via git clone –recursive.
Conclusion: Bulletin de sécurité décrivant une vulnérabilité Git activement exploitée, ses mécanismes, l’état des correctifs selon distributions, et les options de remédiation mises à disposition.
🔗 Source originale : https://www.root.io/news-media/cve-2025-48384-critical-git-vulnerability