CVE-2025-22620

gitoxide is an implementation of git written in Rust. Prior to 0.17.0, gix-worktree-state specifies 0777 permissions when checking out executable files, intending that the umask will restrict them appropriately. But one of the strategies it uses to set permissions is not subject to the umask. This causes files in a repository to be world-writable in some situations. This vulnerability is fixed in 0.17.0.

CVSS v3 5.0 MEDIUM

5.0^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.3 / Impact : 3.6

Attack Vector LOCAL

Attack Complexity LOW

Privileges Required LOW

User Interaction REQUIRED

Confidentiality Impact NONE

Integrity Impact HIGH

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://github.com/GitoxideLabs/gitoxide/security/advisories/GHSA-fqmf-w4xh-33rh

Configurations

No configuration.

History

15 Apr 2026, 00:35

Type	Values Removed	Values Added
Summary		(es) gitoxide es una implementación de git escrita en Rust. Antes de la versión 0.17.0, gix-worktree-state especifica permisos 0777 al extraer archivos ejecutables, con la intención de que la máscara de usuario los restrinja de manera adecuada. Pero una de las estrategias que utiliza para establecer permisos no está sujeta a la máscara de usuario. Esto hace que los archivos de un repositorio sean modificables por todo el mundo en algunas situaciones. Esta vulnerabilidad se solucionó en la versión 0.17.0.

20 Jan 2025, 16:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-01-20 16:15

Updated : 2026-04-15 00:35

NVD link : CVE-2025-22620

Mitre link : CVE-2025-22620

CVE.ORG link : CVE-2025-22620

JSON object : View

Products Affected

No product.

CWE

CWE-281

Improper Preservation of Permissions

CWE-687

Function Call With Incorrectly Specified Argument Value

5.0 /10