一、 漏洞 CVE-2025-54584 基础信息
漏洞信息
                                        # GitProxy 打包文件解析漏洞

### 概述

GitProxy 是一个位于开发者与 Git 远程端点(如 github.com)之间的应用。在版本 1.19.1 及以下中,存在一个漏洞,允许攻击者通过构造恶意 Git packfile 来绕过 PACK 签名检测逻辑。

### 影响版本

- GitProxy <= 1.19.1

### 细节

- 漏洞位于 `parsePush.ts` 文件中的 PACK 签名检测逻辑。
- 攻击者可以在提交内容中嵌入伪造的 PACK 签名,并精心构造 packet 结构。
- 此行为可欺骗解析器将无效或非预期的数据误判为合法的 packfile。

### 影响

- 可能导致绕过提交审批流程。
- 攻击者可能利用此漏洞隐藏特定提交,造成安全策略失效。

### 修复版本

- 该问题已在 GitProxy 1.19.2 及以上版本中修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
GitProxy is vulnerable to a packfile parsing exploit
来源:美国国家漏洞数据库 NVD
漏洞描述信息
GitProxy is an application that stands between developers and a Git remote endpoint (e.g., github.com). In versions 1.19.1 and below, an attacker can craft a malicious Git packfile to exploit the PACK signature detection in the parsePush.ts file. By embedding a misleading PACK signature within commit content and carefully constructing the packet structure, the attacker can trick the parser into treating invalid or unintended data as the packfile. Potentially, this would allow bypassing approval or hiding commits. This issue is fixed in version 1.19.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
输入的错误解释
来源:美国国家漏洞数据库 NVD
漏洞标题
The Fintech Open Source Foundation GitProxy 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
The Fintech Open Source Foundation GitProxy是The Fintech Open Source Foundation基金会的一个在Git之上部署自定义推送保护和策略。 The Fintech Open Source Foundation GitProxy 1.19.1及之前版本存在安全漏洞,该漏洞源于处理恶意Git packfile时可能绕过批准或隐藏提交。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-54584 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-54584 的情报信息

  • 标题: Release v1.19.2 · finos/git-proxy · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Release v1.19.2 · finos/git-proxy · GitHub

  • 标题: Packfile parsing exploit · Advisory · finos/git-proxy · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    Packfile parsing exploit · Advisory · finos/git-proxy · GitHub

  • 标题: Merge pull request #1118 from jescalada/revert-dir-parsePush · finos/git-proxy@333c98a · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Merge pull request #1118 from jescalada/revert-dir-parsePush · finos/git-proxy@333c98a · GitHub

  • 标题: Merge commit from fork · finos/git-proxy@a620a2f · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Merge commit from fork · finos/git-proxy@a620a2f · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-54584
四、漏洞 CVE-2025-54584 的评论

暂无评论

发表评论