CISA alerta para vulnerabilidade explorada no Git

A Cybersecurity and Infrastructure Security Agency (CISA) emitiu um alerta sobre a exploração ativa de uma vulnerabilidade crítica no Git, rastreada como CVE-2025-48384, que permite gravação arbitrária de ficheiros e pode resultar em execução remota de código.

A agência incluiu a falha no seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) e estabeleceu 15 de setembro como prazo limite para que agências federais apliquem os patches, ao abrigo da Diretiva Operacional Vinculativa 22-01.

A falha, com uma pontuação CVSS de 8,1, está associada ao manuseamento incorreto de caracteres de retorno de carro final (CR) durante a configuração de submódulos no Git. Esse comportamento permite que invasores manipulem caminhos internos e forcem a gravação de ficheiros em locais inesperados e a execução involuntária de scripts.

O problema foi corrigido no início de julho com o lançamento de novas versões do Git (2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1 e 2.50.1). No entanto, pouco depois da disponibilização das atualizações, a empresa de segurança Datadog reportou a publicação de um código de prova de conceito que demonstra a exploração prática da vulnerabilidade. Segundo a Datadog, um invasor pode criar repositórios maliciosos que, ao serem clonados, desencadeiam a execução de código remoto.

A falha afeta apenas sistemas Linux e macOS, enquanto o Windows permanece imune devido a diferenças no tratamento de caracteres de controlo. Apesar disso, a Datadog salientou que não só programadores em estações de trabalho estão em risco, como também sistemas de integração contínua (CI/CD) podem estar a executar versões vulneráveis.

Embora até ao momento não haja relatos públicos de incidentes relacionados com a CVE-2025-48384, a CISA reforçou a recomendação para que todas as organizações – mesmo fora do âmbito governamental – revejam a lista KEV e apliquem as correções necessárias, a fim de mitigar o risco de exploração.