ISGroup Consultoría de Ciberseguridad

CVE-2025-48384 – Escritura Arbitraria de Archivos en Git mediante Submódulos Maliciosos

CVE-2025-48384 es una vulnerabilidad de alta gravedad en el cliente Git (en macOS y Linux) divulgada el 8 de julio de 2025.
Se manifiesta al utilizar git clone --recursive en un repositorio con un archivo .gitmodules manipulado que contiene rutas que terminan con un carácter de retorno de carro (CR), lo que puede conducir a la escritura arbitraria de archivos y potencialmente a la ejecución remota de código (RCE). Esto representa un riesgo significativo para la cadena de suministro de desarrolladores y sistemas de automatización.

Fecha2025-08-28 09:44:54
Información
  • Parche disponible

Resumen técnico

El analizador de configuración de Git elimina los CRLF finales durante la lectura de los valores de configuración, pero no encierra los valores cuando los escribe, lo que provoca discrepancias. Si una ruta de submódulo termina con un carácter CR, Git puede inicializar el módulo en una ubicación no intencionada. En presencia de un enlace simbólico (symlink) hacia el directorio de hooks del submódulo y un hook post-checkout ejecutable, la clonación del repositorio puede activar el hook, lo que conlleva a la ejecución de código.

Las versiones de la CLI de Git anteriores a las versiones corregidas—v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1 y v2.50.1—son vulnerables. Es importante señalar que los sistemas Windows no se ven afectados.

Además, existen exploits de tipo prueba de concepto (PoC) disponibles públicamente, lo que aumenta el riesgo concreto.

Recomendaciones

  1. Actualizar la CLI de Git inmediatamente
    Asegúrese de que todos los clientes Git en macOS y Linux estén actualizados a una de las versiones corregidas:
    v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1 o v2.50.1 (o posteriores).

  2. Evitar la clonación recursiva de repositorios no confiables
    Evite el uso de git clone --recursive para repositorios provenientes de fuentes no verificadas, especialmente en estaciones de trabajo de desarrollo o canalizaciones CI/CD.

  3. Utilizar versiones parcheadas de Git en entornos de automatización
    En entornos como GitLab Runner o herramientas de CI, asegúrese de que el cliente Git utilizado en las imágenes base esté actualizado; evite el uso de versiones vulnerables.

  4. Verificar la presencia de versiones vulnerables
    En los sistemas afectados, ejecute git --version para comprobar si la versión instalada se encuentra entre las seguras. En macOS, tenga en cuenta que herramientas como Homebrew pueden instalar una versión de Git adicional sin reemplazar la del sistema; actualice su PATH en consecuencia.

  5. Monitorear e informar a los desarrolladores
    Sensibilice a los equipos sobre los riesgos relacionados con los submódulos maliciosos y asegúrese de que los entornos sensibles limiten las operaciones únicamente a fuentes confiables.

[Callforaction-THREAT-Footer]

In