CVE-2026-45571
ŚrednieCVSS 5.4Streszczenie
go-git to rozszerzalna biblioteka implementacji Gita napisana w czystym Go. Przed wersjami 5.19.1 i 6.0.0-alpha.4 występował problem z walidacją ścieżek, który mógł pozwolić na wpływanie na pliki poza zamierzonym celem checkoutu, w tym na katalog .git repozytorium.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do plików w katalogu .git, co może prowadzić do wycieku danych lub manipulacji repozytorium. Wykorzystanie tej podatności może zagrażać integralności i bezpieczeństwu danych w systemie kontroli wersji.
Rekomendacja
Zaleca się aktualizację do wersji 5.19.1 lub 6.0.0-alpha.4, aby usunąć tę podatność. Należy również przeprowadzić audyt istniejących repozytoriów w celu wykrycia potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
go-git is an extensible git implementation library written in pure Go. Prior to 5.19.1 and 6.0.0-alpha.4, a path validation issue in go-git could allow crafted repository data to affect files outside the intended checkout target, including the repository's .git directory. These validations were introduced in upstream Git years ago, so the vulnerability arose from go-git drifting from those checks. This vulnerability is fixed in 5.19.1 and 6.0.0-alpha.4.

