GitHub masaüstünde ve başarılı bir şekilde sömürülürse, bir saldırganın bir kullanıcının GIT kimlik bilgilerine yetkisiz erişim elde etmesine izin verebilecek diğer Git ile ilgili projelerde birden fazla güvenlik açığı açıklanmıştır.
Pazar yayınlanan bir analizde, “GIT, kimlik bilgisi protokolü kimlik bilgilerini almak için kimlik bilgisi yardımcısından almak için bir protokol uygular.” Dedi. Diyerek şöyle devam etti: “Mesajların uygunsuz ele alınması nedeniyle, birçok proje kimlik bilgisi sızıntısına çeşitli şekillerde savunmasızdı.”
Belirlenen güvenlik açıklarının listesi aşağıdaki gibidir –
- CVE-2025-23040 (CVSS Puanı: 6.6) – Kötü niyetli olarak hazırlanmış uzak URL’ler GitHub masaüstünde kimlik bilgisi sızıntılarına yol açabilir
- CVE-2024-50338 (CVSS Puanı: 7.4) – Uzak URL’deki Taşıma -Geri Karakter, kötü amaçlı deponun GIT kimlik yöneticisinde kimlik bilgilerini sızdırmasına izin verir
- CVE-2024-53263 (CVSS Puanı: 8.5) – GIT LFS, hazırlanmış HTTP URL’leri aracılığıyla kimlik bilgilerinin alınmasına izin verir
- CVE-2024-53858 (CVSS Puanı: 6.5) – GitHub CLI’de özyinelemeli depo klonlama, kimlik doğrulama jetonlarını Github olmayan alt modül ana bilgisayarlarına sızdırabilir
Kimlik bilgisi yardımcısı, NewLine kontrol karakteri (“\ n”) ile ayrılan kimlik bilgilerini içeren bir mesaj döndürecek şekilde tasarlanmış olsa da, araştırma Github masaüstünün bir taşıma dönüşü (“\ r”) kaçakçılığına karşı duyarlı olduğunu buldu, böylece Karakterin hazırlanmış bir URL’ye enjekte edilmesi, kimlik bilgilerini saldırgan kontrollü bir ana bilgisayara sızdırabilir.
Github, “Kötü niyetli bir şekilde hazırlanmış bir URL kullanarak, Github masaüstü tarafından Github masaüstü tarafından yanlış yorumlanmasına neden olmak mümkündür, böylece Git’in şu anda iletişim kurduğu ana bilgisayardan farklı bir ana bilgisayar için kimlik bilgileri gönderecek,” dedi Github. bir danışmanlık içinde.
Benzer bir zayıflık, GIT kimlik yöneticisi NuGet paketinde de kimlik bilgilerinin ilgisiz bir ana bilgisayara maruz kalmasına izin vererek tanımlanmıştır. GIT LFS, benzer şekilde, herhangi bir gömülü kontrol karakterini kontrol etmediği bulunmuştur, bu da hazırlanmış HTTP URL’leri aracılığıyla bir Taşıma Dönüş Hattı Besleme (CRLF) enjeksiyonu ile sonuçlanmıştır.
Öte yandan, GitHub CLI’yi etkileyen güvenlik açığı, erişim belirtecinin GitHub dışındaki ana bilgisayarlara gönderilecek şekilde yapılandırıldığı gerçeğinden yararlanır.[.]com ve ghe[.]com Çevre değişkenleri github_enterprise_token, gh_enterprise_token ve github_token ayarlandığı ve kod değerleri ikincisi durumunda “true” olarak ayarlandığı sürece.
RY0TAK, “Her iki işletme ile ilgili değişken de yaygın olmasa da, GitHub kod alanlarında çalışırken her zaman true olarak ayarlanır.” Dedi. Diyerek şöyle devam etti: “Bu nedenle, GitHub CLI kullanarak GitHub kod alanlarında kötü niyetli bir depoyu klonlamak, erişim belirtecini her zaman saldırganın ana bilgisayarlarına sızdırır.”
Yukarıda belirtilen kusurların başarılı bir şekilde kullanılması, ayrıcalıklı kaynaklara erişmek için sızdırılmış kimlik doğrulama jetonlarını kullanarak kötü niyetli bir üçüncü tarafa yol açabilir.
Açıklamalara yanıt olarak, taşıma dönüş kaçakçılığından kaynaklanan kimlik bilgisi sızıntısı, GIT projesi tarafından bağımsız bir güvenlik açığı (CVE-2024-52006, CVSS skoru: 2.1) olarak ele alınmıştır ve V2.48.1 sürümünde ele alınmıştır.
Github Yazılım Mühendisi Taylor Blau, CVE-2024-52006 hakkındaki bir yazıda, “Bu güvenlik açığı CVE-20120-5260 ile ilgilidir, ancak tek taşıma dönüş karakterlerinin bazı kimlik bilgisi yardımcı uygulamaları tarafından yeni çizgiler olarak yorumlandığı davranışlara dayanıyor.” Dedi.
En son sürüm ayrıca, kullanıcıları rasgele sitelere kimlik bilgilerini sağlamak için kandırmak için kaçış dizileri içeren bir URL’ler üretme için bir düşman tarafından kullanılabilen CVE-2024-50349’u (CVSS skoru: 2.1) yamalar.
Kullanıcıların bu güvenlik açıklarına karşı korumak için en son sürüme güncellemeleri önerilir. Hemen yama bir seçenek değilse, hatalarla ilişkili risk, güvensiz depolara karşı-recurse-submodülleri ile git klonunu çalıştırmaktan kaçınarak hafifletilebilir. Ayrıca, yalnızca halka açık depoları klonlayarak kimlik bilgisi yardımcısını kullanmaması önerilir.