ГлавнаяБаза уязвимостей БДУ → BDU:2025-08690
7.2высокая

BDU:2025-08690 (CVE-2025-46334)

Уязвимость графического инструмента Git GUI распределенной системы контроля версий Git средства разработки программного обеспечения Microsoft Visual Studio, позволяющая нарушителю выполнить произвольные команды
Опубликовано: 2025-07-21
Описание

Уязвимость графического инструмента Git GUI распределенной системы контроля версий Git средства разработки программного обеспечения Microsoft Visual Studio существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю выполнить произвольные команды

Затрагиваемое ПО и версии
Microsoft Visual Studio 2017 (от 15.0 до 15.9)АЛЬТ СП 10Microsoft Visual Studio 2019 (от 16.0 до 16.10 включительно)Microsoft Visual Studio 2022 (17.12)Microsoft Visual Studio 2022 (17.10)Microsoft Visual Studio 2022 (17.8)Microsoft Visual Studio 2022 (17.14)Git (до 2.50.0 включительно)
Способ устранения

Использование рекомендаций:
Для Git GUI:
https://github.com/j6t/git-gui/compare/dcda716dbc9c90bcac4611bd1076747671ee0906..a1ccd2512072cf52835050f4c97a4fba9f0ec8f9
https://github.com/j6t/git-gui/security/advisories/GHSA-7px4-9hg2-fvhx

Для продуктов Microsoft:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-46334

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Компенсирующие меры:
- не использовать в работе с Git команды меню Git Bash или Browse Files.

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://github.com/j6t/git-gui/compare/dcda716dbc9c90bcac4611bd1076747671ee0906..a1ccd2512072cf52835050f4c97a4fba9f0ec8f9https://github.com/j6t/git-gui/security/advisories/GHSA-7px4-9hg2-fvhxhttps://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-46334https://nvd.nist.gov/vuln/detail/CVE-2025-46334https://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена