製品・ソフトウェアに関する情報
Vulnerability Search
Git for Windowsにおける複数の脆弱性
Title Git for Windowsにおける複数の脆弱性
Summary

Git for WindowsはWindows向けのGitポートです。バージョン2.53.0(2)以前のバージョンには、悪意のあるサーバーからのクローンをユーザーが実行することで、ユーザーのNTLMハッシュを取得される可能性がありました。NTLMハッシュは脆弱であるため、攻撃者はユーザーのアカウント名とパスワードをブルートフォース攻撃で解読できます。この脆弱性はバージョン2.53.0(2で修正されました。

Possible impacts 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date March 10, 2026, midnight
Registration Date April 23, 2026, 10:15 a.m.
Last Update April 23, 2026, 10:15 a.m.
CVSS3.0 : 警告
Score 6.5
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Affected System
Git for Windows
Git for Windows 2.53.0 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2026年04月23日]
  掲載		 April 23, 2026, 10:15 a.m.
NVD Vulnerability Information
CVE-2025-66413
Summary

Git for Windows is the Windows port of Git. Prior to 2.53.0(2), it is possible to obtain a user's NTLM hash by tricking them into cloning from a malicious server. Since NTLM hashing is weak, it is possible for the attacker to brute-force the user's account name and password. This vulnerability is fixed in 2.53.0(2).

Summary

Git para Windows es el puerto de Windows de Git. Antes de 2.53.0(2), es posible obtener el hash NTLM de un usuario engañándolos para que clonen de un servidor malicioso. Dado que el hashing NTLM es débil, es posible para el atacante forzar por fuerza bruta el nombre de cuenta y la contraseña del usuario. Esta vulnerabilidad está corregida en 2.53.0(2).

Publication Date March 11, 2026, 6:16 a.m.
Registration Date April 27, 2026, 12:15 p.m.
Last Update April 21, 2026, 11:08 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:gitforwindows:git:*:*:*:*:*:*:*:* 2.53.0
Related information, measures and tools
Common Vulnerabilities List