CVE-2025-48384 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Git 处理配置值时，**尾随回车符**处理不当。 💥 **后果**：子模块可能被错误检出到由**符号链接**指向的钩子目录，导致**意外执行**其中的可执行脚本（RCE）。

🔍 **CWE**：CWE-436（解释性代码中的**解析歧义**）。 🛠 **缺陷点**：对配置值中**尾随回车符**的解析逻辑存在漏洞，导致路径解析被劫持。

📦 **组件**：Git 开源分布式版本控制系统。 📅 **时间**：2025-07-08 发布。 📌 **版本**：测试复现于 **Git 2.50.0**（具体受影响版本需参考官方公告，但所有未修补版本均高危）。

👮 **权限**：攻击者可执行任意**系统命令**。 📂 **数据**：完全控制执行 Git 命令的用户上下文，可窃取代码、植入后门或横向移动。

🚧 **门槛**：**中等**。 🔑 **条件**： - **AC:H**（攻击复杂度较高） - **PR:L**（需要低权限/无权限） - **UI:R**（需要用户交互，如执行 `git clone`） - 需诱导用户克隆包含恶意构造的子模块配置的项目。

💣 **Exp**：**有**。 🔗 **PoC**：GitHub 上已有多个复现仓库（如 `acheong08/CVE-2025-48384`），执行 `git clone --recursive` 即可触发（如创建 `/tmp/fishsucks` 文件）。

🔎 **自查**： 1. 检查 Git 版本是否未更新。 2. 审计 `.gitmodules` 配置，看是否有指向**符号链接**或异常路径的子模块。 3. 扫描代码库中是否存在包含**尾随回车符**的恶意配置值。

🛡️ **补丁**：官方已发布安全公告（GHSA-vwqx-4fm8-6qc9）。 ✅ **建议**：立即升级 Git 至**最新安全版本**以修复解析逻辑。

⚠️ **临时规避**： - **禁用递归克隆**：避免使用 `git clone --recursive`。 - **手动检查**：克隆后仔细检查 `.git/hooks` 目录及符号链接指向。 - **配置限制**：在 CI/CD 环境中限制自动执行钩子脚本。

🔥 **优先级**：**高**。 💡 **见解**：CVSS 评分 **8.1** (High)，涉及 **RCE** 和 **S:C**（状态改变）。虽然需要用户交互，但开发者日常频繁使用 Git，极易中招。建议**立即修复**。