go-git 庫中發現了一個重大安全漏洞,編號為 CVE-2025-21613,用於純 Go 應用程式中的 Git 版本控制,此問題影響5.13.0之前的所有版本,其特徵是參數注入漏洞,使潛在攻擊者能夠在利用檔案傳輸協定時修改 git-upload-pack 標誌,該協定特別容易受到攻擊,因為它與 Git 二進位檔案交互,使其成為有吸引力的利用目標,根據其可利用性和影響,該漏洞已被評為重要嚴重性。
受影響的 Amazon SSM 代理程式 已更新至版本 3.3.1611.0,解決了該漏洞,此更新確保了輸入的安全處理,並降低了被利用的風險,CVSS 分數顯示被利用的可能性很高,會對機密性、完整性和可用性造成嚴重後果。
go-git 庫中發現的 CVE-2025-21613為各種 SUSE 產品和應用程式帶來了重大風險,使用者應優先考慮立即更新,以防止潛在的利用,面對不斷變化的威脅,持續監控安全建議和更新對於維護系統完整性和安全性至關重要。
此次 SUSE Linux 發行版中 'go-git' 庫的注入漏洞,凸顯了軟體供應鏈安全的重要性。使用者應立即更新至最新版本,以確保系統安全。同時,也應定期檢視系統安全更新,並養成良好的安全習慣,以降低遭受攻擊的風險。
參考資料: