Er is een nieuwe kwetsbaarheid aangetroffen in gitk, een op Tcl/Tk gebaseerde Git geschiedenisbrowser, aangeduid met CVE-2025-27613. Deze kwetsbaarheid maakt het mogelijk dat bestanden in de thuisdirectory van de gebruiker worden aangemaakt en overschreven. Het risico ontstaat vooral wanneer een gebruiker een onbetrouwbare repository kloont en gitk zonder extra opdrachtargumenten uitvoert.
Het probleem is gekoppeld aan de optie Support per-file encoding in de Voorkeuren van gitk. Hoewel deze optie standaard uitstaat, maakt het gebruik van de functie Show origin of this line het probleem niet minder riskant.
Overzicht
Vanaf versie 1.7.0 van gitk kunnen bestanden ongewild worden aangemaakt en overschreven zonder aanvullende permissies. Dit probleem is gerepareerd in de versies 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1 en 2.50.1. Elk van deze updates bevat een oplossing die gebruikers beschermt tegen deze kwetsbaarheid.
Aanbevelingen
- Update gitk naar de nieuwste gepatchte versie, ten minste 2.50.1.
- Vermijd het klonen van onbetrouwbare repositories zonder voldoende toezicht.
- Schakel de support voor per-bestandscodec in gitk’s voorkeuren alleen in als dat noodzakelijk is.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-27613?
Dit is een kwetsbaarheid in de gitk tool waarmee een lokale aanvaller bestanden kan aanmaken en overschrijven in de thuisdirectory van de gebruiker.
Welke systemen zijn kwetsbaar voor CVE-2025-27613?
Alle systemen met gitk versies tussen 1.7.0 en voor 2.43.7, en versies tussen 2.44.0 en voor 2.50.1.
Bestaat er al een patch of beveiligingsupdate?
Ja, patches zijn beschikbaar in de versies 2.43.7, 2.44.4, en hoger tot minimaal 2.50.1.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan bestanden in de thuisdirectory aanmaken en overschrijven zonder medeweten van de gebruiker.
