O GitHub Desktop e outros projetos relacionados ao Git enfrentam graves vulnerabilidades que podem expor credenciais sensíveis a invasores. Esses riscos decorrem de falhas no manuseio de mensagens no protocolo Git Credential Protocol, conforme revelado pelo pesquisador Ry0taK, da GMO Flatt Security, em um relatório detalhado.
Riscos das vulnerabilidades no GitHub Desktop
Lista de vulnerabilidades identificadas
Entre as falhas divulgadas, destacam-se:
- CVE-2025-23040 (CVSS: 6,6): Vazamento de credenciais via URLs remotas maliciosas no GitHub Desktop.
- CVE-2024-50338 (CVSS: 7,4): Injeção de caracteres de retorno de carro em URLs remotas permitindo vazamento no Git Credential Manager.
- CVE-2024-53263 (CVSS: 8,5): Exploração do Git LFS para capturar credenciais por meio de URLs HTTP maliciosas.
- CVE-2024-53858 (CVSS: 6,5): Vazamento de tokens de autenticação ao clonar repositórios no GitHub CLI.
Detalhes técnicos e impacto
O principal problema está na manipulação inadequada de mensagens que envolvem caracteres de controle, como o carriage return (“\r”). Esse comportamento pode levar o GitHub Desktop a enviar credenciais para um host diferente do esperado.
Por exemplo, uma URL maliciosamente construída pode enganar o GitHub Desktop, fazendo com que ele interprete incorretamente os destinos das credenciais. Isso permite que invasores exfiltrem dados confidenciais para servidores controlados por eles.
Notícias Relacionadas
Marketing Digital
Quais as melhores estratégias de marketing no Instagram para empresas?
No cenário digital atual, o Instagram se tornou uma das plataformas mais poderosas para empresas que desejam aumentar sua visibilidade, fortalecer a marca e impulsionar as vendas. Com milhões de usuários ativos diariamente, ter uma estratégia bem definida é essencial para se destacar da concorrência. Neste artigo, você descobrirá as melhores estratégias de marketing no […]
A nova paixão dos brasileiros
A evolução do interesse dos brasileiros pelos jogos de cassino online
Nos últimos anos, os jogos de cassino online se tornaram uma febre entre os brasileiros. Impulsionado pela tecnologia, pelo crescimento do mercado de apostas e por mudanças na legislação, o setor tem atraído cada vez mais adeptos em todo o país. Além disso, a oferta de incentivos, como os giros grátis, tem despertado ainda mais […]
Vulnerabilidades adicionais
O Git Credential Manager e o Git LFS também apresentam problemas semelhantes. No caso do GitHub CLI, tokens podem ser enviados para hosts não confiáveis, especialmente quando variáveis como CODESPACES estão ativadas. Esse risco é particularmente crítico no ambiente GitHub Codespaces, onde essa variável é definida automaticamente como “true”.
Medidas de correção e mitigação
Para proteger os usuários, o Git lançou a versão v2.48.1, que corrige o CVE-2024-52006 (CVSS: 2.1) e o CVE-2024-50349 (CVSS: 2.1). Essa atualização resolve o problema do carriage return, relacionado a comportamentos observados em implementações anteriores.
Enquanto a aplicação de patches imediatos é recomendada, medidas como evitar clonar repositórios não confiáveis com a opção --recurse-submodules podem mitigar os riscos. Além disso, recomenda-se não usar auxiliares de credenciais ao trabalhar com repositórios públicos.
Essa abordagem destaca como as vulnerabilidades no GitHub Desktop podem ser exploradas, oferece insights sobre os riscos técnicos envolvidos e orienta usuários sobre como se proteger. Mantenha suas ferramentas sempre atualizadas para evitar problemas de segurança.
