漏洞详情:

Git 2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2 和 2.39.4 之前版本中存在远程命令执行漏洞，攻击者可以利用 Git 的一个 Bug 制作带有子模块的版本库，从而欺骗 Git，使其不将文件写入子模块的工作树，而是写入".git/"目录。这就允许编写一个钩子，在克隆操作时执行攻击者设计的恶意指令，由于恶意命令执行发生在克隆过程中，使用户没有机会从本地检查克隆的仓库是否包含恶意命令。

修复方案:
该问题已在2.45.1、2.44.1、2.43.4、2.42.2、2.41.1、2.40.2 和 2.39.4 版本中得到修补，建议受影响用户及时升级到安全版本：
https://git-scm.com/docs/git-config#Documentation/git-config.txt-coresymlinks