Hamo73曰く、

Gitの「credential helper」コンポーネントにおけるURL処理に深刻度の高い不具合が見つかった。このコンポーネントはパスワードなどの認証情報を接続先サーバーに送信するものだが、URLの処理に問題があり、細工されたリポジトリURLなどに対しクローンを実行することで、意図しているものとは異なる任意のサーバーに認証情報を送信してしまうという（公開されている脆弱性情報、Security NEXT）。

この脆弱性を悪用し、エンコードした改行を含む細工したURLを用いることで、任意のサーバーの認証パスワードを取得し、他の任意のサーバーに送信させることができるという。対処済みのバージョンとしてバージョン2.17.4、2.18.3、2.19.4、2.20.3、2.21.2、2.22.3、2.23.2、2.24.2、2.25.3、2.26.1がリリースされている。また、とりあえずの回避策としてはcredential helperの無効化が挙げられている。

Gitではサブモジュールを含むリポジトリをクローンする場合やツール経由でクローンを行う場合など、URLを意識せずにクローン処理が実行されるケースがあり、こうした場合に細工されたURLであるとは認識せずにクローン処理を実行してしまう危険性もあるという。