CVE-2025-23040 in GitHubالمعلومات

الملخص

بحسب VulDB • 05/06/2026

يُعد GitHub Desktop تطبيقًا مفتوح المصدر يعتمد على إطار عمل Electron، ومصمم خصيصًا لتطوير مشاريع Git. يمكن لمهاجم، عن طريق إقناع المستخدم باستنساخ مستودع (repository) مباشرة أو عبر وحدة فرعية (submodule)، الحصول على وصول إلى بيانات اعتماد المستخدم من خلال استخدام عنوان URL بعيد مُعدّ بشكل خبيث. يعتمد GitHub Desktop على Git لتنفيذ جميع العمليات المتعلقة بالشبكة (مثل الاستنساخ، والجلب، والدفع). عندما يحاول المستخدم استنساخ مستودع، يقوم GitHub Desktop باستدعاء الأمر `git clone`، وعندما يواجه Git عنوانًا بعيدًا يتطلب المصادقة، فإنه يطلب بيانات الاعتماد الخاصة بذلك المضيف البعيد من GitHub Desktop باستخدام بروتوكول `git-credential`. باستخدام عنوان URL مُعدّ بشكل خبيث، من الممكن التسبب في سوء تفسير طلب بيانات الاعتماد القادم من Git بواسطة GitHub Desktop، مما يؤدي إلى إرسال بيانات اعتماد لمضيف مختلف عن المضيف الذي يتواصل معه Git حاليًا، مما يتيح بذلك استخراج الأسرار (secret exfiltration). قد يتم إرسال اسم مستخدم GitHub ورمز OAuth، أو بيانات الاعتماد الأخرى لم_hosts_ البعيدة لـ Git المخزنة في GitHub Desktop، بشكل غير صحيح إلى مضيف غير ذي صلة. يجب على المستخدمين تحديث GitHub Desktop إلى الإصدار 3.4.12 أو أحدث، الذي يصلح هذا الثغرة. وينبغي للمستخدمين الذين يشتبهون في تأثرهم بإلغاء أي بيانات اعتماد ذات صلة.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

10/01/2025

إفشاء

15/01/2025

الاعتدال

تمت الموافقة

إدخال

VDB-292047

EPSS

0.00747

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!