CVE-2026-45571
MediumCVSS 5.4Summary
go-git to rozszerzalna biblioteka implementacji Gita napisana w czystym Go. Przed wersjami 5.19.1 i 6.0.0-alpha.4 występował problem z walidacją ścieżek, który mógł pozwolić na wpływanie na pliki poza zamierzonym celem checkoutu, w tym na katalog .git repozytorium.
Risk Assessment
Organizacje mogą być narażone na nieautoryzowany dostęp do plików w katalogu .git, co może prowadzić do wycieku danych lub manipulacji repozytorium. Wykorzystanie tej podatności może zagrażać integralności i bezpieczeństwu danych w systemie kontroli wersji.
Recommendation
Zaleca się aktualizację do wersji 5.19.1 lub 6.0.0-alpha.4, aby usunąć tę podatność. Należy również przeprowadzić audyt istniejących repozytoriów w celu wykrycia potencjalnych zagrożeń.
Original NVD description (English source)
go-git is an extensible git implementation library written in pure Go. Prior to 5.19.1 and 6.0.0-alpha.4, a path validation issue in go-git could allow crafted repository data to affect files outside the intended checkout target, including the repository's .git directory. These validations were introduced in upstream Git years ago, so the vulnerability arose from go-git drifting from those checks. This vulnerability is fixed in 5.19.1 and 6.0.0-alpha.4.

