CVE-2026-42563
WysokieCVSS 7.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 - wyżej niż 25% wszystkich znanych CVE
Streszczenie
Dulwich, implementacja formatów i protokołów Git w czystym Pythonie, ma podatność w wersjach od 0.24.0 do 1.2.4. W `ProcessMergeDriver` nieprawidłowo podstawia ścieżkę pliku do polecenia sterownika scalania, co pozwala atakującemu na wykonanie dowolnych poleceń.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do wykonania złośliwego kodu na systemie ofiary, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację Dulwich do wersji 1.2.5 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Dulwich is a pure-Python implementation of the Git file formats and protocols. Starting in version 0.24.0 and prior to version 1.2.5, Dulwich's `ProcessMergeDriver` substitutes the file path (from the git tree, controllable by an attacker via a malicious branch) into the merge driver command via the `%P` placeholder and executes it with `subprocess.run(..., shell=True)`. An attacker who can cause a victim to merge an untrusted branch can achieve arbitrary command execution by crafting malicious file paths. Version 1.2.5 fixes the issue.

