CVE-2025-48384是流行的分布式版本控制系统Git中最近修补的一个漏洞，正被攻击者利用。有关攻击的详细信息尚未公开，但美国网络安全和基础设施安全局(CISA)确认了该漏洞已被利用，并于周一将该漏洞添加到其已知被利用漏洞目录中。

DataDog研究人员解释说：“CVE-2025-48384源于Git读取和写入包含控制字符的配置值的方式不匹配。”

该漏洞可被利用来编写恶意的Git Hook脚本，导致在运行git commit和git merge等子命令时引发远程代码执行(RCE)。攻击者可以构建一个恶意的.gitmodules文件，其中子模块路径以回车符结尾。由于Git的配置解析器行为，此字符在读取时可能会被剥离，但在写入时会保留，从而允许恶意重定向子模块内容。当与符号链接或某些存储库布局结合使用时，这可能导致跨文件系统的任意写入。

CVE-2025-48384于2025年7月8日公开披露，当时发布了Git的修复版本 - v2.50.1、v2.49.1、v2.48.2、v2.47.3、v2.46.4、v2.45.4、v2.44.4和v2.43.7。

几天后，Datadog研究人员发现并验证了已经开始出现的概念验证(PoC)漏洞。

通过创建恶意git存储库，可以轻松利用此漏洞，这些存储库在克隆时会执行代码。

Datadog的研究人员指出，它还可能被滥用来覆盖受害者的Git配置文件，攻击者可以利用这种方法将目标的知识产权（例如专有源代码）泄露到他们的服务器。“此类Git活动对受害者来说是透明的，从而允许攻击者隐秘地持久化，”他们补充道。

由于已发现野外攻击，使用macOS和Linux系统的开发人员必须检查其Git版本是否为最新版本，如果不是，则应将其更新到修复后的版本。（Mac用户也应确保使用macOS命令行工具更新预装的Git版本。）

一些客户CI/CD构建系统可能仍在使用易受攻击的Git版本。

还建议用户避免在不受信任的存储库中递归克隆子模块。

通过将CVE-2025-48384添加到其KEV目录中，CISA已命令美国联邦民事机构在2025年9月15日之前修复其系统中的漏洞。