Katalog CVE

CVE-2026-42563

WysokieCVSS 7.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.08%

Percentyl 25 - wyżej niż 25% wszystkich znanych CVE

Streszczenie

Dulwich, implementacja formatów i protokołów Git w czystym Pythonie, ma podatność w wersjach od 0.24.0 do 1.2.4. W `ProcessMergeDriver` nieprawidłowo podstawia ścieżkę pliku do polecenia sterownika scalania, co pozwala atakującemu na wykonanie dowolnych poleceń.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wykonania złośliwego kodu na systemie ofiary, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację Dulwich do wersji 1.2.5 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Dulwich is a pure-Python implementation of the Git file formats and protocols. Starting in version 0.24.0 and prior to version 1.2.5, Dulwich's `ProcessMergeDriver` substitutes the file path (from the git tree, controllable by an attacker via a malicious branch) into the merge driver command via the `%P` placeholder and executes it with `subprocess.run(..., shell=True)`. An attacker who can cause a victim to merge an untrusted branch can achieve arbitrary command execution by crafting malicious file paths. Version 1.2.5 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS