CRITICAL🇬🇧 English

CVE-2026-28292

RCE w Simple-Git — ominięcie wcześniejszych poprawek CVE

CVSS 9.8v3.1pub. 2026-03-10upd. 2026-06-30

Biblioteka `simple-git` (wersje 3.15.0–3.22.x oraz 3.23.1–3.32.2) zawiera podatność umożliwiającą zdalne wykonanie kodu (RCE) poprzez command injection. Podatność pozwala atakującemu ominąć poprawki wprowadzone dla dwóch wcześniejszych podatności (CVE-2022-25860 i CVE-2022-25912) i przejąć pełną kontrolę nad maszyną hosta.

Pokaż oryginał (EN)

`simple-git`, an interface for running git commands in any node.js application, has an issue in versions 3.15.0 through 3.32.2 that allows an attacker to bypass two prior CVE fixes (CVE-2022-25860 and CVE-2022-25912) and achieve full remote code execution on the host machine. Version 3.23.0 contains an updated fix for the vulnerability.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej obsługi danych wejściowych przekazywanych do poleceń git w aplikacjach Node.js korzystających z biblioteki `simple-git`. Mechanizmy walidacji i neutralizacji danych wejściowych, wprowadzone jako poprawki dla CVE-2022-25860 oraz CVE-2022-25912, mogą zostać obejście (bypass), co sklasyfikowano jako CWE-78 (command injection) oraz CWE-178 (nieprawidłowe porównywanie z uwzględnieniem wielkości liter). Atakujący może spreparować złośliwe dane wejściowe, które zostaną zinterpretowane jako polecenia systemowe i wykonane na serwerze.

Skutki

Skuteczne wykorzystanie podatności umożliwia atakującemu zdalne wykonanie dowolnego kodu (RCE) na maszynie hosta bez konieczności uwierzytelnienia, co może prowadzić do pełnego przejęcia systemu, ujawnienia danych lub ich modyfikacji.

Mitygacja

Należy zaktualizować bibliotekę `simple-git` do wersji 3.23.0 lub wyższej zawierającej poprawkę. Szczegóły dostępne są w repozytorium projektu oraz w security advisory GHSA-r275-fr43-pm7q.

Kogo dotyczy

Simple-Git Project Simple-Git w wersjach od 3.15.0 do 3.32.2 (z wyjątkiem wersji 3.23.0, która zawiera poprawkę). Dotyczy aplikacji Node.js korzystających z biblioteki `simple-git`.

Uwagi

Podatność stanowi bypass wcześniejszych poprawek dla CVE-2022-25860 i CVE-2022-25912, co świadczy o niewystarczającym utrwaleniu pierwotnych poprawek. Poprawka dostępna jest w commicie f7042088aa2dac59e3c49a84d7a2f4b26048a257.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Simple Git Project Simple Git

    APP
    Simple-Git Project
    3.15.0 – 3.32.2 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCECommand Injection
CWE
Referencje

Powiązane podatności

CVE-2026-6951HIGH8.2ten sam produkt

Versions of the package simple-git before 3.36.0 are vulnerable to Remote Code Execution (RCE) due to an incom...

CVE-2026-28291HIGH8.1ten sam produkt

simple-git enables running native Git commands from JavaScript. Versions up to and including 3.31.1 allow exec...

CVE-2022-25860HIGH8.1ten sam produkt

Versions of the package simple-git before 3.16.0 are vulnerable to Remote Code Execution (RCE) via the clone()...

CVE-2022-25912HIGH8.1ten sam produkt

The package simple-git before 3.15.0 are vulnerable to Remote Code Execution (RCE) when enabling the ext trans...

CVE-2022-24066HIGH8.1ten sam produkt

The package simple-git before 3.5.0 are vulnerable to Command Injection due to an incomplete fix of [CVE-2022-...