Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el paquete simple-git (CVE-2022-24066)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/04/2022
Última modificación:
08/08/2023

Descripción

El paquete simple-git versiones anteriores a 3.5.0, es vulnerable a una inyección de comandos debido a una corrección incompleta de [CVE-2022-24433](https://security.snyk.io/vuln/SNYK-JS-SIMPLEGIT-2421199) que sólo parchea contra el vector de ataque git fetch. Un uso similar de la función --upload-pack de git también es compatible con git clone, que la corrección anterior no cubría

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:simple-git_project:simple-git:*:*:*:*:*:node.js:*:* 3.5.0 (excluyendo)