Er is een ernstige kwetsbaarheid ontdekt in GitProxy (CVE-2025-54586) die de blootstelling van gevoelige informatie aan een ongeautoriseerde actor mogelijk maakt. In de versies 1.19.1 en lager kunnen aanvallers extra commits injecteren in de pakketdata die naar GitHub wordt gestuurd. Hoewel deze “verborgen” commits niet verschijnen in de zichtbare geschiedenis van de repository, worden ze door GitHub nog steeds bediend op hun directe commit-URLs.
Overzicht
Deze kwetsbaarheid heeft te maken met CWE-200: Blootstelling van Gevoelige Informatie aan een Ongeautoriseerde Actor. Het probleem kan geëxploiteerd worden via het netwerk met een lage complexiteit en vereist minimale privileges. Het kan leiden tot een hoge impact op de vertrouwelijkheid van gegevens binnen GitProxy.
Aanbevelingen
- Update GitProxy naar versie
1.19.2of hoger. Deze update verhelpt de kwetsbaarheid. - Controleer of er geen ongeautoriseerde commits zijn toegevoegd aan uw repositories door directe commit-URLs te inspecteren.
Bronnen
- Security Advisory GitProxy GHSA-v98g-8rqx-g93g
- Git commit 9c1449f4ec37d2d1f3edf4328bc3757e8dba2110
- Git commit a620a2f33c39c78e01783a274580bf822af3cc3a
- GitProxy release v1.19.2
Vraag en Antwoord
Wat is CVE-2025-54586?
CVE-2025-54586 is een kwetsbaarheid waardoor aanvallers in staat zijn verborgen commits te injecteren in GitProxy packs, waardoor gevoelige gegevens kunnen worden blootgesteld.
Welke systemen zijn kwetsbaar voor CVE-2025-54586?
Alle versies van GitProxy vóór versie 1.19.2 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, GitProxy 1.19.2 verhelpt deze kwetsbaarheid.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gevoelige informatie uitlekken door commithistorie te misbruiken zonder een spoor achter te laten binnen de standaard zichtbare weergave van de repository.
Belangrijk: controleer uw systemen vandaag nog en zorg ervoor dat uw GitProxy installatie up-to-date is!
