CVE-2026-28292
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 67 - wyżej niż 67% wszystkich znanych CVE
Streszczenie
Biblioteka `simple-git` dla Node.js w wersjach od 3.15.0 do 3.32.2 zawiera podatność umożliwiającą ominięcie poprawek dla CVE-2022-25860 i CVE-2022-25912. Atakujący może wykorzystać ten błąd do zdalnego wykonania kodu na hoście.
Ocena ryzyka
Ryzyko dla organizacji jest krytyczne, ponieważ atakujący może przejąć kontrolę nad serwerem aplikacji, wykraść dane lub zainstalować złośliwe oprogramowanie bez konieczności uwierzytelniania.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę `simple-git` do wersji 3.23.0 lub nowszej, która zawiera poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
`simple-git`, an interface for running git commands in any node.js application, has an issue in versions 3.15.0 through 3.32.2 that allows an attacker to bypass two prior CVE fixes (CVE-2022-25860 and CVE-2022-25912) and achieve full remote code execution on the host machine. Version 3.23.0 contains an updated fix for the vulnerability.

