分散型バージョン管理システム「Git」に7件の脆弱性 ～Windows版にも対策版【17:30追記】

「Git for Windows」v2.50.1が公開

　分散型バージョン管理システム「Git」に、複数の脆弱性が発見された。Windows向けは以下の対策済みバージョンが、日本時間7月9日付けでリリースされている。

• Git for Windows 2.50.1
• Git for Windows 2.49.1
• MinGit for Windows 2.47.3

　修正された脆弱性は、以下の7件。執筆時現在、深刻度は最大で「High」と評価されている。

• CVE-2025-27613：「Gitk」の脆弱性。ユーザーが信頼できないリポジトリをクローンし、コマンド引数を追加せずに「Gitk」を実行すると、書き込み可能なファイルが作成され、切り捨てられる可能性がある
• CVE-2025-27614：「Gitk」の脆弱性。リポジトリをクローンしたユーザーが「gitk filename」を起動した際に、意図しないスクリプトが実行されるよう細工される可能性がある
• CVE-2025-46334：Windows版の「Git」GUIに影響する脆弱性。悪意のある「textconv」フィルタープログラムを含むリポジトリで、ユーザーに特定の操作を行わせることにより、これらのプログラムが意図せず起動されてしまう
• CVE-2025-46835：「Git」GUIの脆弱性。ユーザーが信頼できないリポジトリをクローンし、リポジトリ内の悪意のある名前のディレクトリにあるファイルを編集するよう誘導された場合、任意の場所にファイルが作成・上書きされる可能性がある
• CVE-2025-48384：「Git」の脆弱性。サブモジュールを初期化する際に、パスに末尾のCRが含まれていると不正なパスを読み込むことがあり、サブモジュールが正しくない場所にチェックアウトされることがある。意図せずスクリプトが実行される可能性
• CVE-2025-48385：「Git」の脆弱性。「Git」クライアントがアドバタイズされたバンドルの検証を十分に行っておらず、リモート側にプロトコルインジェクションを許してしまう。最悪の場合、任意のコードを実行される可能性
• CVE-2025-48386：クレデンシャルヘルパーが「wcsncat()」でバッファーに追加する前にバッファーの空き容量を適切にチェックしておらず、バッファーオーバーフローの可能性がある

　「Git for Windows」はWindows 8.1以降に対応しており、現在「GitHub」のリリースページから無償でダウンロードできる。公式サイト「git-scm.com」などからも入手可能だ。

［2025年7月9日17時30分編集部追記］ 7月9日付で、脆弱性を修正した「Git for Windows 2.50.1」を同梱した「GitHub Desktop 3.5.2-beta1」が公開されている。間もなく正式版としてリリースされる見込みだ。