Версии пакета simple-git до 3.36.0 уязвимы для удаленного выполнения кода (RCE) из-за неполного исправления для [CVE-2022-25912](https://security.snyk.io/vuln/SNYK-JS-SIMPLEGIT-3112221), которое блокирует параметр -c, но не эквивалентную форму --config. Если ненадежный ввод может достичь аргумента параметров, переданного в simple-git, злоумышленник все равно может добиться удаленного выполнения кода, включив протокол.ext.allow=always и используя источник ext::clone.
Показать оригинальное описание (EN)
Versions of the package simple-git before 3.36.0 are vulnerable to Remote Code Execution (RCE) due to an incomplete fix for [CVE-2022-25912](https://security.snyk.io/vuln/SNYK-JS-SIMPLEGIT-3112221) that blocks the -c option but not the equivalent --config form. If untrusted input can reach the options argument passed to simple-git, an attacker may still achieve remote code execution by enabling protocol.ext.allow=always and using an ext:: clone source.
Характеристики атаки
Последствия
Строка CVSS v4.0