| タイトル | simple-git projectのsimple-gitにおけるOS コマンドインジェクションの脆弱性 |
|---|---|
| 概要 | simple-gitはJavaScriptからネイティブのGitコマンドを実行する機能を提供します。バージョン3.31.1まで(含む)には、Gitオプションの操作を通じて任意のコマンドを実行可能にする脆弱性が存在し、-uや--upload-packのような危険なオプションをブロックする安全チェックを回避してしまいます。この欠陥は以前の修正に起因しており、Gitの柔軟なオプション解析により、正規表現ベースのブロックリストを回避する多様な文字の組み合わせ(例:-vu、-4u、-nu)が可能でした。Gitが受け入れる有効なオプションのバリエーションが事実上無限であるため、ブロックリストに基づく完全な緩和策の実施は困難でした。この問題はバージョン3.32.0で修正されました。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月13日0:00 |
| 登録日 | 2026年5月15日10:55 |
| 最終更新日 | 2026年5月15日10:55 |
| CVSS3.0 : 重要 | |
| スコア | 8.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
| simple-git project |
| simple-git 3.32.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月15日] 掲載 |
2026年5月15日10:55 |
| 概要 | Versions of the package simple-git before 3.16.0 are vulnerable to Remote Code Execution (RCE) via the clone(), pull(), push() and listRemote() methods, due to improper input sanitization. |
|---|---|
| 公表日 | 2023年1月27日6:15 |
| 登録日 | 2023年1月27日10:01 |
| 最終更新日 | 2024年11月21日15:53 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:simple-git_project:simple-git:*:*:*:*:*:node.js:*:* | 3.16.0 | ||||
| 概要 | simple-git enables running native Git commands from JavaScript. Versions up to and including 3.31.1 allow execution of arbitrary commands through Git option manipulation, bypassing safety checks meant to block dangerous options like -u and --upload-pack. The flaw stems from an incomplete fix for CVE-2022-25860, as Git's flexible option parsing allows numerous character combinations (e.g., -vu, -4u, -nu) to circumvent the regular-expression-based blocklist in the unsafe operations plugin. Due to the virtually infinite number of valid option variants that Git accepts, a complete blocklist-based mitigation may be infeasible without fully emulating Git's option parsing behavior. This issue has been fixed in version 3.32.0. |
|---|---|
| 公表日 | 2026年4月14日3:16 |
| 登録日 | 2026年4月15日11:38 |
| 最終更新日 | 2026年4月18日0:38 |