HIGHCVE-2024-32465CVSS 7.4

Gitの信頼できないリポジトリのクローンに対する保護が回避される可能性がある

Q: CVE-2024-32465 in Gitの影響はありますか？

はい、バージョン2.43.0以下、または2.43.4未満のGitのバージョンを使用している場合は、影響を受ける可能性があります。攻撃者は、この脆弱性を悪用して、機密情報を盗み出したり、システムを制御したりする可能性があります。

Q: CVE-2024-32465 in Gitを修正するにはどうすればよいですか？

Gitをバージョン2.45.1以降にアップデートしてください。アップデートがすぐに利用できない場合は、一時的な回避策として、`git clone --no-local`コマンドを使用して、ローカルクローンを無効にすることができます。

Q: CVE-2024-32465は積極的に悪用されていますか？

現時点では、CVE-2024-32465の悪用事例は確認されていませんが、CVE-2024-32004と同様の攻撃パターンが考えられるため、注意が必要です。

Q: CVE-2024-32465に関するGitの公式アドバイザリはどこで入手できますか？

Gitプロジェクトの公式ウェブサイトでアドバイザリを確認してください: [https://git-scm.com/downloads/security](https://git-scm.com/downloads/security)

プラットフォーム

linux

コンポーネント

git

修正版

2.45.1

2.44.1

2.43.1

2.42.1

2.41.1

2.40.1

2.39.5

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

Gitはバージョン管理システムです。CVE-2024-32465は、Gitにおけるリポジトリの脆弱性であり、信頼できないリポジトリからのクローン操作において、セキュリティ保護を回避される可能性があります。この脆弱性は、バージョン2.43.0以下、または2.43.4未満のGitのバージョンに影響を与えます。2.45.1で修正されており、最新バージョンへのアップデートが推奨されます。

影響と攻撃シナリオ

この脆弱性は、攻撃者が信頼できないリポジトリをクローンする際に、Gitのセキュリティ保護をバイパスすることを可能にします。これにより、攻撃者は悪意のあるコードをリポジトリに挿入し、クローン操作中に実行される可能性があります。攻撃者は、機密情報を盗み出したり、システムを制御したりする可能性があります。CVE-2024-32004と同様の攻撃パターンが考えられますが、CVE-2024-32004の修正が不十分な状況でこの脆弱性が悪用される可能性があります。特に、他のユーザーが所有するローカルリポジトリを扱う場合にリスクが高まります。

悪用の状況

この脆弱性は2024年5月14日に公開されました。現時点では、KEVリストには登録されていません。公開されているPoCは確認されていませんが、CVE-2024-32004と同様の攻撃パターンが考えられるため、注意が必要です。攻撃者による悪用が確認された場合、迅速な対応が必要です。

リスク対象者翻訳中…

Development teams using local Git repositories, particularly those sharing repositories between users or integrating with build systems, are at increased risk. Organizations with legacy Git configurations or those relying on older versions of Git are also vulnerable.

検出手順翻訳中…

• linux / server:

journalctl -u git | grep -i "error" -i "warning"

• linux / server:

ps aux | grep git

• generic web: Inspect Git server access logs for unusual cloning patterns or requests from unexpected sources. • generic web: Check Git configuration files for any unauthorized modifications or suspicious entries.

攻撃タイムライン

2024-05-14Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出ローカルのみ

EPSS

0.15% (36% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgit

ベンダーgit

影響範囲修正版

= 2.45.0 – = 2.45.02.45.1

= 2.44.0 – = 2.44.02.44.1

>= 2.43.0, < 2.43.4 – >= 2.43.0, < 2.43.42.43.1

>= 2.42.0, < 2.42.2 – >= 2.42.0, < 2.42.22.42.1

= 2.41.0 – = 2.41.02.41.1

>= 2.40.0, < 2.40.2 – >= 2.40.0, < 2.40.22.40.1

< 2.39.4 – < 2.39.42.39.5

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-04-12
公開日2024-05-14
更新日2025-11-04
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、Gitをバージョン2.45.1以降にアップデートすることです。アップデートがすぐに利用できない場合は、一時的な回避策として、git clone --no-localコマンドを使用して、信頼できないリポジトリをクローンする前に、ローカルクローンを無効にすることができます。これにより、リポジトリのクローン中に悪意のあるコードが実行されるのを防ぐことができます。また、リポジトリの整合性を定期的に確認し、不審なファイルや変更がないか監視することも重要です。Gitのバージョン管理システムを最新の状態に保ち、セキュリティアップデートを適用することで、この脆弱性によるリスクを軽減できます。

修正方法翻訳中…

Actualice Git a la versión 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 o 2.39.4, o superior. Evite usar Git en repositorios obtenidos a través de archivos de fuentes no confiables. Si no puede actualizar inmediatamente, tenga precaución al trabajar con repositorios obtenidos de fuentes no confiables.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-32465 — リポジトリ脆弱性 in Gitとは何ですか？

CVE-2024-32465は、Gitにおけるリポジトリの脆弱性であり、信頼できないリポジトリからのクローン操作において、セキュリティ保護を回避される可能性があります。

CVE-2024-32465 in Gitの影響はありますか？