BDU:2025-13253
Уязвимость функций checkout() и pull() расширения Git для управления версиями больших файлов Git LFS, позволяющая нарушителю получить доступ на запись произвольных файлов
📄 Описание
Уязвимость функций checkout() и pull() расширения Git для управления версиями больших файлов Git LFS связана с некорректным определением символических ссылок в ходе осуществления доступа к файлу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на запись произвольных файлов
🖥️ Уязвимое ПО
ООО «Ред Софт», GitHub Inc
Наименование ПО: РЕД ОС (запись в едином реестре российских программ №3751), Git LFS
Версия ПО: 7.3 (РЕД ОС), от 0.5.2 до 3.7.0 включительно (Git LFS)
Тип ПО: Операционная система, ПО для разработки ИИ
ОС / платформа: ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
⚙️ Технические сведения
📊 CVSS
CVSS 2.0
AV:N/AC:L/Au:N/C:C/I:C/A:N
CVSS 3.0
AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
CVSS 4.0
AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
⚠️ Уровень опасности
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,1)
Высокий уровень опасности (оценка CVSS 4.0 составляет 8,6)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,1)
Высокий уровень опасности (оценка CVSS 4.0 составляет 8,6)
🔗 Источники и меры
🔗 https://github.com/git-lfs/git-lfs/releases/tag/v3...
🔗 https://github.com/git-lfs/git-lfs/security/adviso...
🔗 https://github.com/git-lfs/git-lfs/commit/0cffe931...
🔗 https://github.com/git-lfs/git-lfs/commit/5c11ffce...
🔗 https://github.com/git-lfs/git-lfs/commit/d02bd13f...
🔗 https://github.com/Mitchellzhou1/CVE_2025_26625_Po...
🔗 https://redos.red-soft.ru/support/secure/uyazvimos...
🏷️ Идентификаторы
📅 Даты