一、 漏洞 CVE-2025-54585 基础信息
漏洞信息
                                        # GitProxy 新分支审批漏洞

## 概述

GitProxy 是一个位于开发者与 Git 远程端点之间的应用,用于实施推送策略与代码审批流程。在版本 1.19.1 及以下中,存在一个漏洞,允许攻击者绕过父分支的提交审批控制。

## 影响版本

- 版本 1.19.1 及之前版本

## 细节

该漏洞利用 GitProxy 创建新分支的方式,使得攻击者能够在未获得父分支先前提交审批的情况下创建子分支并推送更改。攻击无需额外权限,只要拥有标准的推送权限即可进行。漏洞利用过程中,不需要用户交互,但要求 GitProxy 管理员或被指定用户(`canUserApproveRejectPush`)批准对子分支的推送。

## 影响

所有依赖 GitProxy 来强制执行提交策略和防止未经授权更改的用户或组织均受此漏洞影响。攻击者可能通过该漏洞引入未经批准的更改,从而破坏代码审查机制和策略控制。

## 解决方案

该问题已在版本 **1.19.2** 中修复。建议受影响的用户升级至该版本或更高。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
GitProxy is vulnerable to a new branch approval exploit
来源:美国国家漏洞数据库 NVD
漏洞描述信息
GitProxy is an application that stands between developers and a Git remote endpoint. In versions 1.19.1 and below, attackers can exploit the way GitProxy handles new branch creation to bypass the approval of prior commits on the parent branch. The vulnerability impacts all users or organizations relying on GitProxy to enforce policy and prevent unapproved changes. It requires no elevated privileges beyond regular push access, and no extra user interaction. It does however, require a GitProxy administrator or designated user (canUserApproveRejectPush) to approve pushes to the child branch. This is fixed in version 1.19.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
The Fintech Open Source Foundation GitProxy 授权问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
The Fintech Open Source Foundation GitProxy是The Fintech Open Source Foundation基金会的一个在Git之上部署自定义推送保护和策略。 The Fintech Open Source Foundation GitProxy 1.19.1及之前版本存在授权问题漏洞,该漏洞源于处理新分支创建时可能绕过父分支提交的批准。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-54585 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-54585 的情报信息

  • 标题: Release v1.19.2 · finos/git-proxy · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Release v1.19.2 · finos/git-proxy · GitHub

  • 标题: New branch approval exploit · Advisory · finos/git-proxy · GitHub -- 🔗来源链接

    标签: x_refsource_CONFIRM

    神龙速读
    New branch approval exploit · Advisory · finos/git-proxy · GitHub

  • 标题: Merge commit from fork · finos/git-proxy@a620a2f · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Merge commit from fork · finos/git-proxy@a620a2f · GitHub

  • 标题: Merge branch 'main' into default-config-validation-error-fix · finos/git-proxy@f99fe42 · GitHub -- 🔗来源链接

    标签: x_refsource_MISC

    神龙速读
    Merge branch 'main' into default-config-validation-error-fix · finos/git-proxy@f99fe42 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-54585
四、漏洞 CVE-2025-54585 的评论

暂无评论

发表评论