CVE-2026-45570
CriticalCVSS 9.6Summary
go-git to rozszerzalna biblioteka implementacji Gita napisana w czystym Go. W wersjach przed 5.19.1 i 6.0.0-alpha.4, transport SSH w go-git konstruuje polecenie zdalnego wykonania, otaczając ścieżkę repozytorium pojedynczymi cudzysłowami, nie escape'ując wbudowanych pojedynczych cudzysłowów. Ścieżka repozytorium zawierająca pojedynczy cudzysłów może więc wydostać się z cytowanego regionu w poleceniu exec i zostać dodana jako dodatkowe tokeny powłoki.
Risk Assessment
Ta podatność może prowadzić do nieautoryzowanego wykonania poleceń w systemie, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Atakujący mogą wykorzystać tę lukę do manipulacji poleceniami wykonywanymi na serwerze.
Recommendation
Zaleca się aktualizację do wersji 5.19.1 lub 6.0.0-alpha.4, aby usunąć tę podatność. Należy również przeprowadzić audyt istniejących repozytoriów w celu identyfikacji potencjalnych zagrożeń związanych z tą luką.
Original NVD description (English source)
go-git is an extensible git implementation library written in pure Go. Prior to 5.19.1 and 6.0.0-alpha.4, go-git's SSH transport constructs the remote exec command by wrapping the repository path in single quotes without escaping single quotes embedded inside the path. A repository path containing a single quote can therefore break out of the quoted region in the exec command and be appended as additional shell tokens. This vulnerability is fixed in 5.19.1 and 6.0.0-alpha.4.

