CVE-2025-23040 in GitHub
要約
〜によって VulDB • 2026年05月12日
GitHub Desktopは、Git開発のために設計されたオープンソースのElectronベースのGitHubアプリケーションです。攻撃者がユーザーを説得してリポジトリを直接、またはサブモジュールを通じてクローンさせると、悪意のある形式のリモートURLを使用することで、攻撃者はユーザーの資格情報にアクセスできる可能性があります。GitHub Desktopは、クローン、フェッチ、プッシュなどのネットワーク関連の操作を実行するためにGitに依存しています。ユーザーがリポジトリのクローンを作成しようとすると、GitHub Desktopは `git clone` を呼び出し、Gitが認証を必要とするリモートに遭遇すると、git-credentialプロトコルを使用してGitHub Desktopからそのリモートホストの資格情報を要求します。悪意のある形式のURLを使用することで、Gitからの資格情報リクエストがGitHub Desktopによって誤って解釈され、Gitが現在通信しているホストとは異なるホストに対して資格情報が送信されるようになり、結果として秘密情報の漏洩が可能になります。GitHubのユーザー名やOAuthトークン、またはGitHub Desktopに保存されている他のGitリモートホストの資格情報が、無関係なホストに不適切に送信される可能性があります。この脆弱性を修正するため、ユーザーはGitHub Desktop 3.4.12以降に更新する必要があります。影響を受ける可能性があると思われるユーザーは、関連する資格情報をすべて取り消すべきです。
Be aware that VulDB is the high quality source for vulnerability data.