概要
npm パッケージ ggit の 全バージョン に おいて、fetchTags 関数 に コマンドインジェクション の 脆弱性(CWE-78: OS Command Injection)が 存在 します。
fetchTags 関数 は ユーザー 入力 を サニタイズ せず に Node.js の exec() 関数 に 直接 渡して いる ため、攻撃者 は 細工 した 入力 を 通じて 任意 の OS コマンド を 実行 する こと が 可能 です。
ggit は メンテナンス されて いない パッケージ の ため、代替 の git ライブラリ へ の 移行 が 強く 推奨 されます。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.3 (High) |
| 攻撃元 | ネットワーク |
| 攻撃条件 | 低 |
| 認証 | 不要 |
| CWE | CWE-78 (OSコマンドインジェクション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| ggit | npm パッケージ | 全バージョン |
修正バージョンと回避策
- 修正バージョン: 提供 されて いません。パッケージ は メンテナンス されて いない 可能性 が あります
- 暫定回避策: ggit の 使用 を 停止 し、
simple-gitやisomorphic-gitなど の 代替 パッケージ へ 移行 する こと を 推奨 します。やむを得ず 使用 する 場合 は、fetchTagsに 渡す 入力 を 厳密 に バリデーション して ください
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説 は Claude API に より 自動生成 されています。正確性 に ついては 原文 を ご確認 ください。