Diversas falhas de segurança foram identificadas no GitHub Desktop e em projetos relacionados ao Git, possibilitando que invasores acessem credenciais de usuários sem autorização. As vulnerabilidades, detalhadas pelo pesquisador Ry0taK da GMO Flatt Security, surgem de falhas no protocolo Git Credential Protocol, usado para recuperar credenciais.

Entre as vulnerabilidades destacadas estão:

• CVE-2025-23040 (CVSS: 6.6): URLs remotas maliciosas podem causar vazamento de credenciais no GitHub Desktop.
• CVE-2024-50338 (CVSS: 7.4): Um caractere de retorno de carro em URLs permite vazamento de credenciais no Git Credential Manager.
• CVE-2024-53263 (CVSS: 8.5): O Git LFS pode expor credenciais por meio de URLs HTTP maliciosos.
• CVE-2024-53858 (CVSS: 6.5): Clonagem recursiva no GitHub CLI pode vazar tokens de autenticação para submódulos não confiáveis.

A exploração ocorre devido à má interpretação de mensagens pelo helper de credenciais, que utiliza o caractere de nova linha (\n) para separar informações. No entanto, ao injetar um retorno de carro (\r) em URLs maliciosas, credenciais podem ser enviadas para hosts controlados por invasores.

Uma falha semelhante foi identificada no Git Credential Manager NuGet, permitindo vazamento de credenciais para hosts não relacionados. No Git LFS, a ausência de validação contra caracteres de controle possibilita injeção de CRLF em URLs maliciosos. Já no GitHub CLI, tokens de acesso podem ser enviados para hosts fora de github[.]com, especialmente quando o ambiente CODESPACES está ativado, cenário comum no GitHub Codespaces.

Se exploradas, essas falhas podem permitir que terceiros acessem recursos privilegiados usando tokens de autenticação roubados. A falha relacionada ao retorno de carro foi tratada como vulnerabilidade isolada (CVE-2024-52006, CVSS: 2.1) e corrigida na versão v2.48.1 do Git. Essa atualização também aborda a CVE-2024-50349, que envolve URLs manipuladas para enganar usuários a fornecer credenciais.