Katalog CVE

CVE-2026-28292

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.30%

Percentyl 67 - wyżej niż 67% wszystkich znanych CVE

Streszczenie

Biblioteka `simple-git` dla Node.js w wersjach od 3.15.0 do 3.32.2 zawiera podatność umożliwiającą ominięcie poprawek dla CVE-2022-25860 i CVE-2022-25912. Atakujący może wykorzystać ten błąd do zdalnego wykonania kodu na hoście.

Ocena ryzyka

Ryzyko dla organizacji jest krytyczne, ponieważ atakujący może przejąć kontrolę nad serwerem aplikacji, wykraść dane lub zainstalować złośliwe oprogramowanie bez konieczności uwierzytelniania.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę `simple-git` do wersji 3.23.0 lub nowszej, która zawiera poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

`simple-git`, an interface for running git commands in any node.js application, has an issue in versions 3.15.0 through 3.32.2 that allows an attacker to bypass two prior CVE fixes (CVE-2022-25860 and CVE-2022-25912) and achieve full remote code execution on the host machine. Version 3.23.0 contains an updated fix for the vulnerability.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS