simple-git projectのsimple-gitにおけるOS コマンドインジェクションの脆弱性
| Title |
simple-git projectのsimple-gitにおけるOS コマンドインジェクションの脆弱性
|
| Summary |
simple-gitはJavaScriptからネイティブのGitコマンドを実行する機能を提供します。バージョン3.31.1まで(含む)には、Gitオプションの操作を通じて任意のコマンドを実行可能にする脆弱性が存在し、-uや--upload-packのような危険なオプションをブロックする安全チェックを回避してしまいます。この欠陥は以前の修正に起因しており、Gitの柔軟なオプション解析により、正規表現ベースのブロックリストを回避する多様な文字の組み合わせ(例:-vu、-4u、-nu)が可能でした。Gitが受け入れる有効なオプションのバリエーションが事実上無限であるため、ブロックリストに基づく完全な緩和策の実施は困難でした。この問題はバージョン3.32.0で修正されました。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 13, 2026, midnight |
| Registration Date |
May 15, 2026, 10:55 a.m. |
| Last Update |
May 15, 2026, 10:55 a.m. |
|
CVSS3.0 : 重要
|
| Score |
8.1
|
| Vector |
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Affected System
| simple-git project |
|
simple-git 3.32.0 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年05月15日]
掲載 |
May 15, 2026, 10:55 a.m. |
NVD Vulnerability Information
CVE-2022-25860
| Summary |
Versions of the package simple-git before 3.16.0 are vulnerable to Remote Code Execution (RCE) via the clone(), pull(), push() and listRemote() methods, due to improper input sanitization.
This vulnerability exists due to an incomplete fix of [CVE-2022-25912](https://security.snyk.io/vuln/SNYK-JS-SIMPLEGIT-3112221).
|
| Publication Date |
Jan. 27, 2023, 6:15 a.m. |
| Registration Date |
Jan. 27, 2023, 10:01 a.m. |
| Last Update |
Nov. 21, 2024, 3:53 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:simple-git_project:simple-git:*:*:*:*:*:node.js:*:* |
|
|
|
3.16.0 |
Related information, measures and tools
Common Vulnerabilities List
CVE-2026-28291
| Summary |
simple-git enables running native Git commands from JavaScript. Versions up to and including 3.31.1 allow execution of arbitrary commands through Git option manipulation, bypassing safety checks meant to block dangerous options like -u and --upload-pack. The flaw stems from an incomplete fix for CVE-2022-25860, as Git's flexible option parsing allows numerous character combinations (e.g., -vu, -4u, -nu) to circumvent the regular-expression-based blocklist in the unsafe operations plugin. Due to the virtually infinite number of valid option variants that Git accepts, a complete blocklist-based mitigation may be infeasible without fully emulating Git's option parsing behavior. This issue has been fixed in version 3.32.0.
|
| Publication Date |
April 14, 2026, 3:16 a.m. |
| Registration Date |
April 15, 2026, 11:38 a.m. |
| Last Update |
April 18, 2026, 12:38 a.m. |
Related information, measures and tools
Common Vulnerabilities List