Katalog CVE

CVE-2026-52726

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.10%

Percentyl 27 - wyżej niż 27% wszystkich znanych CVE

Streszczenie

Dulwich, czysta implementacja formatów i protokołów Git w Pythonie, ma lukę, która pozwala na wstrzyknięcie kontrolowanych przez atakującego ścieżek submodułów z złośliwego repozytorium. Wersje od 0.23.2 do przed 1.2.5 nie walidują ścieżek, co prowadzi do wykonania złośliwego kodu.

Ocena ryzyka

Organizacje mogą być narażone na wykonanie złośliwego kodu w wyniku nieautoryzowanego dostępu do katalogu `.git/hooks`, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do wersji 1.2.5 lub nowszej, aby załatać tę lukę i zabezpieczyć system przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

Dulwich is a pure-Python implementation of the Git file formats and protocols. Starting in version 0.23.2 and prior to version 1.2.5, `dulwich.porcelain.submodule_update`, and by extension `porcelain.clone(..., recurse_submodules=True)`, materializes attacker-controlled submodule paths from a crafted upstream repository without path validation. A malicious `.gitmodules` plus a matching tree gitlink whose `path` is `.git/hooks` (or any other directory inside the parent repository's `.git` directory) causes the attacker's submodule tree contents to be written directly into the victim's `.git/hooks/` directory, preserving executable mode bits. The dropped executables are then run by any subsequent `git` or `dulwich` command that invokes the matching hook, resulting in arbitrary code execution. This is the dulwich equivalent of the upstream Git fixes for CVE-2024-32002 / CVE-2024-32004, which were never propagated into dulwich's separately implemented submodule porcelain. Version 1.2.5 patches the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS