CVE-2025-54585: Kritieke beveiligingslek in GitProxy
Geplaatst inBeveiligingsmeldingen

CVE-2025-54585: Kritieke beveiligingslek in GitProxy

Er is een kritiek beveiligingslek ontdekt in GitProxy-versies 1.19.1 en lager, waarbij kwaadwillenden de manier waarop nieuwe branches worden aangemaakt kunnen misbruiken. Dit kan leiden tot het omzeilen van goedkeuringen van eerdere commits op de ouderbranch. Het probleem raakt alle gebruikers en organisaties die GitProxy gebruiken voor beleidsafdwinging.

Geen verhoogde privileges of extra gebruikersinteractie zijn nodig om deze kwetsbaarheid te misbruiken. Echter, het vereist wel dat een GitProxy-beheerder of aangewezen gebruiker (zoals een canUserApproveRejectPush) goedkeuring geeft voor pushes naar de child branch. Een patch is beschikbaar in versie 1.19.2.

Overzicht

GitProxy werkt als een schakel tussen ontwikkelaars en een Git-afstandsserver. Dit lek is te wijten aan een tekortschietende autorisatie (CWE-285: Improper Authorization) bij het maken van nieuwe branches. De CVSS-score voor deze kwetsbaarheid is hoog, met een basiswaarde van 8.2.

Aanbevelingen

  • Update zo spoedig mogelijk naar GitProxy versie 1.19.2 om dit probleem te verhelpen.
  • Controleer of ongereguleerde wijzigingen of ongeoorloofde branches zijn aangemaakt in uw repositories.

Bronnen

Vraag en Antwoord

Wat is CVE-2025-54585?

Dit is een beveiligingslek in GitProxy waarbij niet correct wordt geautoriseerd bij het maken van nieuwe branches, waardoor onbevoegde wijzigingen kunnen worden doorgevoerd zonder de juiste goedkeuring.

Welke systemen zijn kwetsbaar voor CVE-2025-54585?

Alle versies van GitProxy onder 1.19.2 zijn kwetsbaar.

Bestaat er al een patch of beveiligingsupdate?

Ja, versie 1.19.2 van GitProxy bevat een patch die dit probleem oplost.

Wat kan een aanvaller met deze kwetsbaarheid?

Een aanvaller kan ongeautoriseerd wijzigingen aanbrengen en committen naar de codebase, zonder dat eerdere commits worden goedgekeurd, wat de integriteit van de broncode ernstig in gevaar brengt.

Tags: