Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-6951 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-25 |
| Producent | npm |
| Produkt | simple-git |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Wersje pakietu simple-git starsze niż 3.36.0 są podatne na zdalne wykonanie kodu (RCE) z powodu niepełnej poprawki CVE-2022-25912, która blokuje opcję
-c, ale nie blokuje równoważnej formy--config. Jeśli niezaufane dane wejściowe trafiają do argumentu options przekazywanego do simple-git, atakujący może uzyskać zdalne wykonanie kodu poprzez włączenieprotocol.ext.allow=alwaysi użycie źródła klonowania z prefiksemext::.
Wymagane działania
Niezwłocznie zaktualizuj zależność simple-git w swoim projekcie do wersji 3.36.0 lub nowszej. Przejrzyj kod aplikacji pod kątem przekazywania argumentu options pochodzącego od użytkownika do funkcji simple-git i zastosuj walidację/whitelist parametrów. Przeskanuj również projekty zależne (npm audit, npm ls simple-git) i wdrożone systemy.
Kogo dotyczy?
Podatność dotyczy pakietu simple-git publikowanego w rejestrze npm w wersjach starszych niż 3.36.0. Sprawdź czy Twoje aplikacje Node.js korzystają z tego pakietu (m.in. wiele narzędzi devops i CI/CD) i niezwłocznie zaktualizuj zależność.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
