关键漏洞信息 漏洞标题 Arbitrary code execution through broken config quoting 严重性 Severity: High (8.1/10) 影响版本 Affected versions: = v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1, and v2.50.1 描述与影响 Impact: - 当读取配置值时,Git会剥离任何尾随的回车和换行符(CRLF)。在写入配置条目时,带有尾随CR的值未被引用,导致在稍后读取配置时丢失CR。当初始化子模块时,如果子模块路径包含尾随CR,则修改后的路径将被读取,导致子模块被检出到错误的位置。如果存在指向修改后路径的符号链接,并且子模块包含可执行的post-checkout钩子脚本,则该脚本可能在检出后无意中执行。 解决方案 Workarounds: - 升级到最新版本的Git,或避免在不受信任的存储库中递归克隆子模块。 其他信息 CVE ID: CVE-2025-48384 CVSS v3 base metrics: - Attack vector: Network - Attack complexity: High - Privileges required: Low - User interaction: Required - Scope: Changed - Confidentiality: High - Integrity: High - Availability: High