Vulnerabilidade no GitHub Desktop expõe risco de vazamento de credenciais por URLs Maliciosa

Foram divulgadas múltiplas vulnerabilidades de segurança no GitHub Desktop e em outros projetos relacionados ao Git que, se exploradas com sucesso, podem permitir que hackers obtenham acesso não autorizado às credenciais Git de um usuário.

"O Git utiliza um protocolo chamado Git Credential Protocol para recuperar credenciais do gerenciador de credenciais," explicou o pesquisador da GMO Flatt Security, Ry0taK, em uma análise publicada no domingo. "Devido ao manuseio inadequado de mensagens, muitos projetos ficaram vulneráveis a vazamentos de credenciais de diversas maneiras."

As vulnerabilidades identificadas, chamadas de Clone2Leak, incluem:

• CVE-2025-23040 (Pontuação CVSS: 6.6): URLs remotas maliciosamente manipuladas podem causar vazamento de credenciais no GitHub Desktop.

• CVE-2024-50338 (Pontuação CVSS: 7.4): Caracteres de retorno de carro em URLs remotas permitem que repositórios maliciosos vazem credenciais no Git Credential Manager.

• CVE-2024-53263 (Pontuação CVSS: 8.5): Git LFS permite a recuperação de credenciais via URLs HTTP manipuladas.

• CVE-2024-53858 (Pontuação CVSS: 6.5): Clonagem recursiva de repositórios no GitHub CLI pode vazar tokens de autenticação para hosts de submódulos não relacionados ao GitHub.

O gerenciador de credenciais do Git foi projetado para retornar mensagens contendo as credenciais separadas pelo caractere de controle de nova linha (\n). No entanto, foi identificado que o GitHub Desktop é vulnerável a um caso de injeção de retorno de carro (\r), em que a manipulação de URLs pode redirecionar as credenciais para um host controlado por hackers.

"Usando uma URL maliciosamente manipulada, é possível fazer com que a solicitação de credenciais proveniente do Git seja interpretada incorretamente pelo GitHub Desktop, resultando no envio de credenciais de um host para outro, permitindo a exfiltração de informações confidenciais," afirmou o GitHub em um comunicado.

Uma vulnerabilidade semelhante foi identificada no pacote NuGet do Git Credential Manager, permitindo a exposição de credenciais a hosts não relacionados. Já o Git LFS foi encontrado vulnerável devido à ausência de verificações para caracteres de controle embutidos, resultando em injeções de retorno de carro e alimentação de linha (CRLF) via URLs HTTP manipuladas.

Por outro lado, a falha que afeta o GitHub CLI explora o fato de que tokens de acesso podem ser configurados para serem enviados a hosts diferentes de github[.]com e ghe[.]com, desde que as variáveis de ambiente GITHUB_ENTERPRISE_TOKEN, GH_ENTERPRISE_TOKEN e GITHUB_TOKEN estejam configuradas, e a variável CODESPACES esteja definida como "true".

"Embora as variáveis relacionadas ao ambiente empresarial não sejam comuns, a variável CODESPACES é sempre configurada como true quando usada no GitHub Codespaces," destacou Ry0taK. "Portanto, clonar um repositório malicioso no GitHub Codespaces usando o GitHub CLI sempre vazará o token de acesso para os hosts do invasor."

A exploração bem-sucedida dessas falhas pode permitir que hackers utilizem tokens de autenticação vazados para acessar recursos privilegiados.

Em resposta às descobertas, o Git tratou o vazamento de credenciais por injeção de retorno de carro como uma vulnerabilidade separada (CVE-2024-52006, pontuação CVSS: 2.1) e a corrigiu na versão v2.48.1.

"Essa vulnerabilidade está relacionada à CVE-2020-5260, mas se baseia em um comportamento em que caracteres isolados de retorno de carro são interpretados por algumas implementações do gerenciador de credenciais como novas linhas," explicou Taylor Blau, engenheiro de software do GitHub, em um comunicado sobre a CVE-2024-52006.

A versão mais recente também corrige a CVE-2024-50349 (pontuação CVSS: 2.1), que poderia ser explorada por invasores para criar URLs manipuladas com sequências de escape e enganar usuários, levando-os a fornecer credenciais para sites arbitrários.

Usuários são aconselhados a atualizar para a versão mais recente para proteger seus sistemas contra essas vulnerabilidades. Caso a atualização imediata não seja viável, o risco pode ser mitigado evitando o uso do comando git clone com --recurse-submodules em repositórios não confiáveis. Também é recomendável evitar o uso do gerenciador de credenciais e clonar apenas repositórios públicos.

Via - THN