Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Git は、非常に豊富なコマンドセットを備えた、高速、スケーラブルの分散リビジョンコントロールシステムで、高レベルの操作と内部へのフルアクセスの両方を提供します。リポジトリを複製するとき、Git はリモートサーバーによってアドバタイズされたバンドルを任意にフェッチできるように認識しています。このため、サーバー側は、クローンの一部を CDN にオフロードできます。Git クライアントは、アドバタイズされたバンドルの十分な検証を実行しません。このため、リモートサイドがプロトコルインジェクションを実行することが可能です。このプロトコルインジェクションにより、クライアントはフェッチされたバンドルを攻撃者がコントロールするロケーションに書き込む可能性があります。フェッチされたコンテンツはサーバーによって完全にコントロールされます。このため、最悪の場合、任意のコードが実行される可能性があります。バンドル URI の使用はデフォルトでは有効化されておらず、bundle.heuristic 設定オプションによってコントロールできます。脆弱性の一部のケースでは、攻撃者がリポジトリのクローン先をコントロールしていることが必要です。これには、ソーシャルエンジニアリングまたはサブモジュールを使用した再帰的複製が必要です。このようなケースは、再帰複製を無効にすることで回避できます。この脆弱性は、v2.43.7、v2.44.4、v2.45.4、v2.46.4、v2.47.3、v2.48.2、v2.49.1、v2.50.1 で修正されました。(CVE-2025-48385)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2025-48385

high Nessus プラグイン ID 250160

バージョン 1.4