Vulnerabilidad en simple-git (CVE-2026-28292)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
10/03/2026
Última modificación:
14/04/2026
Descripción
simple-git, una interfaz para ejecutar comandos git en cualquier aplicación node.js, tiene un problema en las versiones 3.15.0 a la 3.32.2 que permite a un atacante eludir dos correcciones CVE previas (CVE-2022-25860 y CVE-2022-25912) y lograr la ejecución remota de código completa en la máquina anfitriona. La versión 3.23.0 contiene una corrección actualizada para la vulnerabilidad.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:simple-git_project:simple-git:*:*:*:*:*:node.js:*:* | 3.15.0 (incluyendo) | 3.32.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/steveukx/git-js/commit/f7042088aa2dac59e3c49a84d7a2f4b26048a257
- https://github.com/steveukx/git-js/security/advisories/GHSA-r275-fr43-pm7q
- https://www.codeant.ai/security-research/security-research-simple-git-remote-code-execution-cve-2026-28292
- https://www.codeant.ai/security-research/simple-git-remote-code-execution-cve-2026-28292