CVE-2025-48384 memungkinkan eksekusi kode jarak jauh pada sistem Unix saat menggunakan git clone --recursive pada repositori tidak terpercaya.
Kerentanan ini berasal dari interaksi karakter carriage return (CR) dalam parser konfigurasi Git, khususnya pada file .gitmodules.
Saat Git menulis ulang konfigurasi, CR di akhir nilai dihapus tanpa dikutip terlebih dahulu, sehingga mengubah path submodule setelah validasi.
Perubahan path ini membuat Git menempatkan file submodule ke lokasi yang berbeda, memungkinkan penyusup menjalankan kode arbitrer.
Windows tidak rentan karena tidak mendukung karakter kontrol dalam nama file, tetapi macOS dan sistem Unix lain terpengaruh.
Solusi permanen adalah memperbarui Git ke versi yang telah menambahkan pengecekan dan pengutipan CR dalam write_pair.
Mitigasi sementara: lakukan git clone tanpa --recursive, periksa .gitmodules secara manual, lalu inisialisasi submodule.
Kerentanan ini mirip dengan injeksi CRLF pada protokol lain dan menyoroti risiko liberal parsing input.
Get notified when new stories are published for "Berita Peretas 🇮🇩 Bahasa Indonesia"