用于 Git 交互的流行 Go 库 go-git 最近发布了 5.13 版,以解决两个可能导致您的软件源暴露的关键安全漏洞。强烈建议开发人员立即更新其依赖项。
CVE-2025-21613:参数注入为未经授权的访问打开了大门
第一个漏洞被跟踪为 CVE-2025-21613,CVSS 得分为 9.8(危急),允许攻击者向 git-upload-pack 标志注入任意参数。该漏洞特别影响文件传输协议的用户,因为该协议依赖于 git 二进制文件的外壳。通过操纵 URL 字段,恶意行为者可在未经授权的情况下访问您的软件源。
CVE-2025-21614:恶意服务器可触发拒绝服务
第二个漏洞 CVE-2025-21614(CVSS 得分 7.5)可对 go-git 客户端发起拒绝服务(DoS)攻击。攻击者可以从 Git 服务器上炮制恶意响应,导致资源耗尽并中断客户端操作。该漏洞凸显了与可信 Git 服务器交互的重要性。
升级到 go-git v5.13 以获得全面保护
go-git 团队已在 5.13 版本中解决了这两个漏洞。升级到最新版本是确保 Git 交互安全和防止潜在漏洞的最有效方法。
传统系统的变通方法
如果无法立即升级,go-git 建议采用以下变通方法:
- 针对 CVE-2025-21613:对 URL 字段中传递的值执行严格的验证规则,以防止恶意参数注入。
- 针对 CVE-2025-21614:将 go-git 的使用限制在受信任的 Git 服务器上,以降低 DoS 攻击的风险。