用于 Git 交互的流行 Go 库 go-git 最近发布了 5.13 版，以解决两个可能导致您的软件源暴露的关键安全漏洞。强烈建议开发人员立即更新其依赖项。

CVE-2025-21613：参数注入为未经授权的访问打开了大门

第一个漏洞被跟踪为 CVE-2025-21613，CVSS 得分为 9.8（危急），允许攻击者向 git-upload-pack 标志注入任意参数。该漏洞特别影响文件传输协议的用户，因为该协议依赖于 git 二进制文件的外壳。通过操纵 URL 字段，恶意行为者可在未经授权的情况下访问您的软件源。

CVE-2025-21614：恶意服务器可触发拒绝服务

第二个漏洞 CVE-2025-21614（CVSS 得分 7.5）可对 go-git 客户端发起拒绝服务（DoS）攻击。攻击者可以从 Git 服务器上炮制恶意响应，导致资源耗尽并中断客户端操作。该漏洞凸显了与可信 Git 服务器交互的重要性。

升级到 go-git v5.13 以获得全面保护

go-git 团队已在 5.13 版本中解决了这两个漏洞。升级到最新版本是确保 Git 交互安全和防止潜在漏洞的最有效方法。

传统系统的变通方法

如果无法立即升级，go-git 建议采用以下变通方法：

针对 CVE-2025-21613：对 URL 字段中传递的值执行严格的验证规则，以防止恶意参数注入。针对 CVE-2025-21614：将 go-git 的使用限制在受信任的 Git 服务器上，以降低 DoS 攻击的风险。