GMO Flatt SecurityのRyotaKがGitの認証情報漏洩につながる
6個の脆弱性をGitおよびGitHub関連サービスに報告

　GMOインターネットグループでプロダクト開発組織に向けたサイバーセキュリティ関連事業を展開するGMO Flatt Security株式会社（代表取締役社長：井手 康貴　以下、GMO Flatt Security）の「脆弱性リサーチプロジェクト」において、セキュリティリサーチャーのRyotaKがGitの認証情報漏洩につながる6個の脆弱性を報告しました。
　関連するプログラム・サービスをご利用の皆様はアドバイザリに従いアップデート等の対策を実施することを推奨いたします。

【「脆弱性リサーチプロジェクト」とは】

　GMO Flatt Securityはソフトウェアプロダクトの脆弱性診断を主軸としてサービスを展開しており、脆弱性の検出において世界トップクラスの実力を持つエンジニアが複数在籍しています。その高い脆弱性検出能力を活かして始まった取り組みがGMO Flatt Securityの「脆弱性リサーチプロジェクト」です。日々の脆弱性診断サービス提供の枠組みの外でも、社会を支える種々のシステムのセキュリティを調査・脆弱性を報告し、その過程で得られた知見を日本発でグローバルに発信しています。

■「脆弱性リサーチプロジェクト」の成果など、グローバルな技術発信を行う英語ブログ
・「GMO Flatt Security Research」　https://flatt.tech/research/
■「脆弱性リサーチプロジェクト」の成果のうち開示済みのCVE一覧
https://flatt.tech/cve
■「脆弱性リサーチプロジェクト」の過去の実績
・執行役員・志賀がUbuntuの権限昇格の脆弱性を報告し、世界最大級のハッキングコンテスト「Pwn2Own」で3万USドルの報奨金を獲得。
　https://scan.netsecurity.ne.jp/article/2021/05/27/45729.html
・セキュリティリサーチャー・RyotaKがWindowsにおいてコマンドインジェクションを引き起こすことができる脆弱性をJava・PHP・Ruby・Goなど8の言語に対して報告。
　https://flatt.tech/research/posts/batbadbut-you-cant-securely-execute-commands-on-windows/

【今回報告した脆弱性】

　今回、GMO Flatt SecurityのRyotaKはGitやGitHub関連サービスに対して以下の6個の脆弱性を報告しました。複数の脆弱性の組み合わせによって、最終的にGitの認証情報が悪意のある攻撃者に窃取されてしまう可能性があります。Gitの認証情報が窃取されるということは、多くのソフトウェア企業において最も重要な資産であるソースコードが外部に流出したり、本番環境のソースコードに悪意のあるプログラムが混入させられてエンドユーザーに被害が及んだりするリスクがあることを意味します。
　GitおよびGitHubは世界中の開発者に利用されているプログラムであり、今回適切なフローで開発元に報告し、アドバイザリが開示されたことで世界の安全に資することができました。

　なお、GitHub Codespacesの脆弱性以外はユーザー側での対策が必要です。関連するプログラム・サービスをご利用の皆様はアドバイザリに従いアップデート等の対策を実施することを推奨いたします。

　今回報告した脆弱性に関する詳細な解説は下記の英語ブログ記事で公開しています。
https://flatt.tech/research/posts/clone2leak-your-git-credentials-belong-to-us/

■CVE-2024-52006
Gitにおける、クレデンシャルヘルパーに対してキャリッジリターンを送信してしまう問題

■CVE-2025-23040
GitHub Desktopにおいてキャリッジリターンの取り扱いが不適切であるため、CVE-2024-52006と組み合わせることでGitの認証情報が漏洩する問題

■CVE-2024-50338
Git Credential Managerにおいてキャリッジリターンの取り扱いが不適切であるため、CVE-2024-52006と組み合わせることでGitの認証情報が漏洩する問題

■CVE-2024-53263
Git LFSにおいて、クレデンシャルヘルパーに対して改行文字を送信してしまい、Gitの認証情報が漏洩する問題

■CVE-2024-53858
GitHub CLIをGitHub Codespaces上で実行した際、任意のホストに対してGitHub.com用のアクセストークンを送信してしまう問題

■GitHub Codespacesの脆弱性（ユーザー側での対策が不要なのでCVE採番なし)
GitHub Codespaces上に実装されているクレデンシャルヘルパーにおいて、ホスト名検証が行われていないため、認証情報が外部のホストに対して送信されてしまう問題

【GMO Flatt Security株式会社について】

　GMO Flatt Securityは「エンジニアの背中を預かる」をミッションに、業界を問わずDX推進・ソフトウェア開発のセキュリティを支援してきた、日本発のセキュリティプロフェッショナル企業です。セキュリティ製品の自社開発や様々な企業へのセキュリティ支援、徹底したユーザーヒアリングを通じて得た知見を元に、一つひとつの顧客組織に寄り添った伴走型のセキュリティサービスを提供しています。

■「エンジニアの背中を預かる」ための、エンジニア向けサービス群
・Web&クラウドまるごと脆弱性診断ツール「Shisho Cloud byGMO」
　URL： https://shisho.dev/ja
・セキュリティエンジニアによる手動脆弱性調査・分析サービス「脆弱性診断」
　URL：https://flatt.tech/assessment
・クラウド型セキュアコーディング学習プラットフォーム「KENRO byGMO」
　URL： https://flatt.tech/kenro

　株式会社Flatt Securityは2025年1月20日より、GMO Flatt Security株式会社に社名を変更いたしました。