Biblioteka `simple-git` (wersje 3.15.0–3.22.x oraz 3.23.1–3.32.2) zawiera podatność umożliwiającą zdalne wykonanie kodu (RCE) poprzez command injection. Podatność pozwala atakującemu ominąć poprawki wprowadzone dla dwóch wcześniejszych podatności (CVE-2022-25860 i CVE-2022-25912) i przejąć pełną kontrolę nad maszyną hosta.
▸ Pokaż oryginał (EN)
`simple-git`, an interface for running git commands in any node.js application, has an issue in versions 3.15.0 through 3.32.2 that allows an attacker to bypass two prior CVE fixes (CVE-2022-25860 and CVE-2022-25912) and achieve full remote code execution on the host machine. Version 3.23.0 contains an updated fix for the vulnerability.
Podatność wynika z nieprawidłowej obsługi danych wejściowych przekazywanych do poleceń git w aplikacjach Node.js korzystających z biblioteki `simple-git`. Mechanizmy walidacji i neutralizacji danych wejściowych, wprowadzone jako poprawki dla CVE-2022-25860 oraz CVE-2022-25912, mogą zostać obejście (bypass), co sklasyfikowano jako CWE-78 (command injection) oraz CWE-178 (nieprawidłowe porównywanie z uwzględnieniem wielkości liter). Atakujący może spreparować złośliwe dane wejściowe, które zostaną zinterpretowane jako polecenia systemowe i wykonane na serwerze.
Skuteczne wykorzystanie podatności umożliwia atakującemu zdalne wykonanie dowolnego kodu (RCE) na maszynie hosta bez konieczności uwierzytelnienia, co może prowadzić do pełnego przejęcia systemu, ujawnienia danych lub ich modyfikacji.
Należy zaktualizować bibliotekę `simple-git` do wersji 3.23.0 lub wyższej zawierającej poprawkę. Szczegóły dostępne są w repozytorium projektu oraz w security advisory GHSA-r275-fr43-pm7q.
Simple-Git Project Simple-Git w wersjach od 3.15.0 do 3.32.2 (z wyjątkiem wersji 3.23.0, która zawiera poprawkę). Dotyczy aplikacji Node.js korzystających z biblioteki `simple-git`.
Podatność stanowi bypass wcześniejszych poprawek dla CVE-2022-25860 i CVE-2022-25912, co świadczy o niewystarczającym utrwaleniu pierwotnych poprawek. Poprawka dostępna jest w commicie f7042088aa2dac59e3c49a84d7a2f4b26048a257.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSimple Git Project Simple Git
APPSimple-Git Project3.15.0 – 3.32.2 (bez)
Powiązane podatności
Versions of the package simple-git before 3.36.0 are vulnerable to Remote Code Execution (RCE) due to an incom...
simple-git enables running native Git commands from JavaScript. Versions up to and including 3.31.1 allow exec...
Versions of the package simple-git before 3.16.0 are vulnerable to Remote Code Execution (RCE) via the clone()...
The package simple-git before 3.15.0 are vulnerable to Remote Code Execution (RCE) when enabling the ext trans...
The package simple-git before 3.5.0 are vulnerable to Command Injection due to an incomplete fix of [CVE-2022-...