Bir siber güvenlik araştırmacısı yakın zamanda Git ile ilgili projeleri etkileyen birkaç kritik güvenlik açığını ortaya çıkardı ve kimlik bilgisi protokollerinin yanlış kullanılmasının hassas veri sızıntılarına nasıl yol açabileceğini ortaya çıkardı.
GitHub Desktop’tan Git Credential Manager’a ve Git LFS’ye kadar bu sorunlar, GitHub Bug Bounty programı için rutin bir hata arama oturumu sırasında ortaya çıkarıldı ve birden fazla CVE’nin atanmasıyla sonuçlandı.
GitHub Masaüstünde Yanlış Ayrıştırma Kimlik Bilgisi Sızıntısına Neden Olur (CVE-2025-23040)
GitHub Desktop’ın Git Kimlik Bilgisi Protokolünü işlemesindeki bir kusurun, kimlik bilgilerinin açığa çıkması için potansiyel bir vektör olduğu belirlendi.
Sorun, aracın “trambolin” adı verilen kimlik bilgisi yardımcısının kullanıcı girişini nasıl ayrıştırdığından kaynaklanıyor.
İçinde parseCredential işlevinde uygunsuz bir düzenli ifade uygulaması, satır başı karakterlerinin yanlış kullanılmasına yol açtı (\r).
Git Kimlik Bilgisi Protokolü öncelikle yeni satır karakterlerine dayandığından (\n) özellikleri tanımlamak için satır başı karakterlerinin dahil edilmesi “taşıma iadesi kaçakçılığına” olanak tanır.
Bu, kötü amaçlı depoları barındıran saldırganların aşağıdaki gibi URL’ler oluşturmasına olanak tanır: http://%0dprotocol=https%0dhost=github.com%0d@localhostsistemi yanlış yorumlayacak şekilde kandırmak github.com hedef ana bilgisayar olarak.
StreamReader’ın Kötüye Kullanımı Yoluyla Git Kimlik Bilgisi Yöneticisi Güvenlik Açığı (CVE-2024-50338)
Git için .NET üzerinde oluşturulmuş platformlar arası bir kimlik bilgisi yardımcısı olan Git Credential Manager’da başka bir kritik sorun belirlendi.
Güvenlik açığı, uygunsuz kullanım nedeniyle ortaya çıkar. StreamReader girdiyi birden fazla satır sonlandırıcı kullanarak işleyen sınıf —\n, \rVe \r\n.
Sonuç olarak saldırganlar, kimlik bilgilerinin nasıl işlendiğini değiştirmek için satırbaşı karakterleri içeren kötü amaçlı URL’ler oluşturabilir.
Git Kimlik Bilgisi Yöneticisi bu tür manipüle edilmiş girdiler aldığında meşru ana bilgisayarlara yönelik kimlik bilgileri gönderebilir (ör. github.com) saldırgan tarafından kontrol edilen uç noktalara gönderilerek hassas kullanıcı verileri etkin bir şekilde açığa çıkarılır.
Araştırmacı ayrıca Git LFS’de (Büyük Dosya Depolama) bir güvenlik açığı keşfetti. Yeni satır enjeksiyonlarını önlemek için kimlik bilgisi değerlerini sağlam bir şekilde doğrulayan Git’in aksine Git LFS, girişi temizlemede başarısız olur.
Flatt Security’ye göre, yeni satır karakterini yerleştirerek .lfsconfig Saldırganlar, doğrulama korumalarını atlayabilir ve kimlik bilgisi protokollerini değiştirerek kimlik bilgilerinin sızdırılmasına neden olabilir.
Örneğin, hazırlanmış bir URL .lfsconfig Git LFS’nin aşağıdaki hatalı biçimlendirilmiş mesajı bir kimlik bilgisi yardımcısına göndermesini tetikleyebilir:
protocol=http
host=localhost
username=
host=github.com
protocol=httpsBu gibi durumlarda, kimlik bilgisi yardımcısı son bilgiyi yorumlayacaktır. host Ve protocol alanları yetkili olarak görüyor, yanlışlıkla açığa çıkarıyor github.com yetkisiz bir ana bilgisayara kimlik bilgileri.
GitHub CLI ve Codespaces’te ayrı güvenlik açıkları bulundu. GitHub CLI’de hatalı mantık tokenForHost işlev, jetonların belirli koşullar altında yetkisiz ana bilgisayarlara gönderilmesine neden oldu.
Sorun öncelikle kurumsal ortamları ve GitHub Kod Alanlarını etkiledi. CODESPACES ortam değişkeni evrensel olarak ayarlanmıştır true.
Codespaces’e klonlanan kötü amaçlı bir depo, erişim belirteçlerini sızdırmak için bundan yararlanabilir.
Benzer şekilde, Codespaces’teki temel bir kimlik bilgisi yardımcı komut dosyası, istenen ana bilgisayarı doğrulayamadığı için belirteçleri açığa çıkardı.
Sonraki yamalar, kimlik bilgilerinin yalnızca güvenilir uç noktalara gönderilmesini sağlamak için etki alanı doğrulamasını başlattı.
Bu güvenlik açıkları, metin tabanlı protokollerdeki küçük mimari gözetimlerin bile ciddi güvenlik ihlallerine yol açabileceğinin altını çiziyor.
Özellikle GitHub Desktop, Git Credential Manager ve Git LFS gibi yaygın olarak kullanılan araçlarda kimlik bilgisi sızıntısı, sıkı girdi doğrulamanın ve güvenli kodlama uygulamalarına bağlılığın önemini vurguluyor.
Bu sorunları çözmek için yamalar dağıtılmış olsa da, bulgular daha geniş açık kaynak topluluğu için uyarıcı bir hikaye görevi görüyor.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN Sandox ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin