Một lỗ hổng bảo mật nghiêm trọng vừa được công bố trong Git CLI – công cụ quản lý mã nguồn được sử dụng rộng rãi nhất hiện nay trong cộng đồng lập trình viên. Lỗ hổng mang mã định danh CVE-2025-48384, được đánh giá với điểm CVSS 8,1, cho phép kẻ tấn công ghi tệp tùy ý và thậm chí thực thi mã từ xa (Remote Code Execution – RCE) trên các hệ thống Linux và macOS. Điều đáng lo ngại là việc khai thác chỉ yêu cầu người dùng thực hiện thao tác quen thuộc: clone một kho chứa Git được thiết kế đặc biệt.
Nguyên nhân của lỗ hổng CVE-2025-48384 bắt nguồn từ cách Git xử lý không nhất quán ký tự điều khiển carriage return (\r) trong tệp cấu hình .gitmodules. Cụ thể, khi Git đọc dữ liệu từ tệp này, các ký tự \r có thể bị bỏ qua hoặc được làm sạch. Tuy nhiên, khi Git ghi lại thông tin vào tệp .git/config trong môi trường cục bộ, những ký tự này lại được giữ nguyên. Sự khác biệt trong cách xử lý này tạo ra một kịch bản nguy hiểm, cho phép kẻ tấn công chèn ký tự \r vào cuối đường dẫn của submodule. Trong quá trình thực thi lệnh git clone –recursive, Git sẽ vô tình ghi cấu hình chứa ký tự điều khiển vào hệ thống mà không phát sinh cảnh báo hay lỗi, từ đó mở đường cho việc chèn hoặc ghi đè cấu hình độc hại.
Các nhà nghiên cứu bảo mật chỉ ra rằng kỹ thuật này có thể bị lạm dụng để thao túng các trường cấu hình nhạy cảm trong Git. Một ví dụ điển hình là ghi đè mục [remote “origin”], qua đó chuyển hướng toàn bộ luồng tải mã nguồn sang máy chủ do attacker kiểm soát. Trong kịch bản nguy hiểm hơn, kẻ tấn công có thể ghi trực tiếp các tệp vào thư mục .git/hooks/. Đây là khu vực Git cho phép thực thi các script tự động mỗi khi người dùng thực hiện các thao tác như git commit, git merge hoặc git checkout. Bằng cách cài cắm mã độc dưới dạng hook, attacker có thể duy trì quyền kiểm soát lâu dài và thực thi mã một cách âm thầm, rất khó bị phát hiện ngay lập tức.
Mức độ rủi ro của lỗ hổng này càng tăng cao do thói quen sử dụng phổ biến của cộng đồng phát triển phần mềm. Lệnh git clone –recursive thường xuyên xuất hiện trong README hoặc tài liệu hướng dẫn của các dự án mã nguồn mở, đặc biệt là những dự án có sử dụng submodule. Người dùng, nhất là các lập trình viên mới hoặc những người ít cảnh giác, có thể dễ dàng sao chép và chạy lệnh này mà không kiểm tra kỹ nội dung kho chứa. Trên macOS, nguy cơ còn lớn hơn khi GitHub Desktop mặc định sử dụng chế độ clone đệ quy, khiến việc khai thác có thể xảy ra mà không cần người dùng thao tác dòng lệnh thủ công. Ngược lại, các hệ thống Windows không bị ảnh hưởng bởi lỗ hổng này do sự khác biệt trong cách xử lý ký tự điều khiển giữa môi trường Windows và các hệ điều hành dựa trên Unix.
Theo thông tin từ phía dự án Git, tất cả các phiên bản từ v2.43.6 trở về trước cho đến v2.50.0 đều nằm trong diện bị ảnh hưởng. Nhằm khắc phục triệt để lỗ hổng, các bản vá đã được phát hành trong đợt cập nhật ngày 8/7/2025, bao gồm các phiên bản: v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1 và v2.50.1. Người dùng được khuyến cáo nâng cấp Git lên các phiên bản này trong thời gian sớm nhất.
Để giảm thiểu rủi ro phát sinh từ CVE-2025-48384, cả cá nhân lẫn tổ chức cần chủ động áp dụng các biện pháp phòng ngừa. Trước hết, nên hạn chế sử dụng lệnh git clone –recursive đối với các kho chứa không rõ nguồn gốc, đặc biệt khi chưa kiểm tra nội dung tệp .gitmodules. Với người dùng GitHub Desktop trên macOS, giải pháp tạm thời là chuyển sang sử dụng Git CLI đã được vá hoặc chờ bản cập nhật chính thức từ ứng dụng. Trong môi trường doanh nghiệp, việc triển khai các quy tắc giám sát tùy chỉnh trên hệ thống phát hiện xâm nhập (IDS) là cần thiết, đồng thời ưu tiên theo dõi các tiến trình shell có nguồn gốc từ Git, nhất là khi liên quan đến thao tác clone đệ quy.
Lỗ hổng CVE-2025-48384 là một minh chứng rõ ràng cho thấy những mối đe dọa nghiêm trọng không nhất thiết phải xuất phát từ các kỹ thuật tấn công phức tạp, mà đôi khi lại bắt nguồn từ chính những thao tác quen thuộc hằng ngày. Trong bối cảnh các cuộc tấn công chuỗi cung ứng phần mềm ngày càng gia tăng, việc cập nhật công cụ, thận trọng khi sử dụng kho chứa bên ngoài và giám sát hành vi bất thường đã trở thành yêu cầu thiết yếu đối với mọi nhà phát triển và tổ chức.
