つみかさね

CVE-2025-26625

High(8)

CVE-2025-26625 — Git LFS シンボリックリンク経由の任意ファイル書き込み

公開日: 2026-06-02データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
git-lfsgit-lfs< 3.7.1

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1git lfs version で現在のバージョンを確認する
  2. 2v3.7.0 以前の場合は v3.7.1 以降へアップデートする
  3. 3アップデート後は信頼できるリポジトリでのみ git lfs pull を実行する

影響対象

git-lfs v3.7.0以前を使用しているGit利用者

補足

  • -信頼できないリポジトリのクローン時は特に注意が必要です
CVEGitLFSGoパストラバーサル任意ファイル書き込み

概要

Git LFS(Large File Storage)は、大容量ファイルを Git リポジトリ外で管理するための拡張機能です。v3.7.0 以前において、細工されたシンボリックリンクを含むリポジトリを git lfs clone または git lfs pull した際に、リポジトリのルートディレクトリ外の任意のパスにファイルが書き込まれる脆弱性が存在します。

悪意あるリポジトリをクローンすることで、攻撃者はユーザーの権限で書き込み可能な任意のファイルシステム上の場所にファイルを配置できます。これにより、シェル設定ファイルや SSH 認証鍵などの上書きを通じたコード実行やアカウント乗っ取りが発生する可能性があります。

CVSSベクトル

要素
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionRequired
ScopeChanged
ConfidentialityNone
IntegrityHigh
AvailabilityHigh
CVSSスコアHigh ※ GHSA 評価値

影響を受けるソフトウェア

製品影響バージョン修正バージョン
git-lfsv3.7.0 以前v3.7.1 以降

修正バージョンと回避策

推奨対応: git-lfs を v3.7.1 以降にアップデートしてください。

# Homebrew (macOS)
brew upgrade git-lfs

# apt (Debian/Ubuntu)
sudo apt update && sudo apt upgrade git-lfs

# または公式リリースページからバイナリを取得
# https://github.com/git-lfs/git-lfs/releases

暫定回避策(アップデートが困難な場合):

  • 信頼できるリポジトリのみを LFS ファイルを含む形でクローン・プルする
  • 不明なリポジトリに対して git lfs pull を実行しない

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

GitHub Advisory:https://github.com/git-lfs/git-lfs/security/advisories/GHSA-6pvw-g552-53c5
NVD:https://nvd.nist.gov/vuln/detail/CVE-2025-26625
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。