ГлавнаяБаза уязвимостей БДУ → BDU:2025-08688
7.2высокая

BDU:2025-08688 (CVE-2025-48385)

Уязвимость распределенной системы контроля версий Git средства разработки программного обеспечения Microsoft Visual Studio, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2025-07-21
Описание

Уязвимость распределенной системы контроля версий Git средства разработки программного обеспечения Microsoft Visual Studio связана с использованием ненадёжного пути поиска при проверки орфографии клонированных репозиториев. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код при клонировании ненадежных репозиториев

Затрагиваемое ПО и версии
РЕД ОС (7.3)Git (до 2.39.1)АЛЬТ СП 10Microsoft Visual Studio 2019 (от 16.0 до 16.10 включительно)Astra Linux Special Edition (1.8)Microsoft Visual Studio 2022 (17.12)Microsoft Visual Studio 2022 (17.10)Microsoft Visual Studio 2022 (17.8)Microsoft Visual Studio 2022 (17.14)Platform V SberLinux OS Server (9.1)ОСОН ОСнова Оnyx (до 2.14)МСВСфера (9.5)Platform V SberLinux OS Server (9.1.1-fstec)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Использование рекомендаций:
Для Git GUI:
https://github.com/git-for-windows/git/commit/7360767e8dfc1895a932324079f7d45d7791d39f
https://github.com/git-for-windows/git/pull/4219
https://github.com/git-for-windows/git/security/advisories/GHSA-v4px-mx59-w99c

Для продуктов Microsoft:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-48385


Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Компенсирующие меры:
- не использовать Git GUI в Windows при клонировании ненадежных репозиториев.

Для ОС Astra Linux:
обновить пакет git до 1:2.43.0-1ubuntu7.3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Обновление программного обеспечения git до версии 1:2.50.1-0.1

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:11462?lang=ru





Для ОСОН ОСнова Оnyx: Обновление программного обеспечения git до версии 1:2.50.1-0.1

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://github.com/j6t/git-gui/compare/dcda716dbc9c90bcac4611bd1076747671ee0906..a1ccd2512072cf52835050f4c97a4fba9f0ec8f9https://github.com/git-for-windows/git/commit/7360767e8dfc1895a932324079f7d45d7791d39fhttps://github.com/git-for-windows/git/pull/4219https://github.com/git-for-windows/git/security/advisories/GHSA-v4px-mx59-w99chttps://www.tcl.tk/man/tcl8.6/TclCmd/exec.html#M23https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-48385https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0811SE18
Проверьте безопасность своего сайта и почты → Полная проверка домена