概要
Node.js 向け git ラッパー ライブラリ simple-git に リモート コード 実行(RCE)脆弱性 が 発見 されました。バージョン 3.15.0 から 3.32.2 が 影響 を 受けます。
この 脆弱性 は 過去 に 修正 された CVE-2022-25860 および CVE-2022-25912 の 対策 を バイパス する 新しい 手法 です。攻撃者 は ホスト マシン 上 で 完全 な RCE を 達成 できます。simple-git は npm で 広く 利用 されている パッケージ であり、CI/CD パイプライン や サーバーサイド アプリケーション で 使用 されている 場合 の 影響 は 深刻 です。
技術的 な 背景
simple-git は Node.js アプリケーション から git コマンド を 実行 する ため の インターフェース を 提供 する ライブラリ です。過去 に 2件 の RCE 脆弱性(CVE-2022-25860、CVE-2022-25912)が 報告 され、それぞれ 入力 サニタイゼーション の 強化 で 修正 されました。
しかし、今回 の CVE-2026-28292 では これら の 修正 を 回避 する 新たな 攻撃 ベクトル が 発見 されています。CWE-178(ケース 感度 の 不適切 な 処理)も 関連 しており、入力 検証 の バイパス に 文字 の 大小 の 違い が 利用 されている 可能性 が あります。
想定 される 影響
この 脆弱性 が 悪用 された 場合、以下 の 影響 が 考えられます:
- CI/CD パイプライン で
simple-gitを 使用 している 場合、ビルド 環境 での 任意 コード 実行 - サーバーサイド アプリケーション で git 操作 を 行う 機能 が ある 場合、サーバー 上 での RCE
- 認証 情報 や 環境 変数 の 漏洩
- 内部 ネットワーク へ の 横展開 の 足がかり
npm の 週間 ダウンロード 数 から 見て、影響 を 受ける プロジェクト は 非常 に 多い と 推測 されます。直接 依存 だけ でなく、間接 依存(transitive dependency)として 含まれる ケース も 確認 が 必要 です。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8 (Critical) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | なし |
| ユーザ関与 | なし |
| CWE | CWE-78 (OS コマンド インジェクション), CWE-178 |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| simple-git | steveukx | 3.15.0 〜 3.32.2 |
修正 バージョン と 回避策
- バージョン 3.23.0 以降 に アップデート して ください
npm auditやnpm ls simple-gitで 依存 関係 を 確認 する こと を 推奨 します- 間接的 な 依存 で 含まれている 場合 も あるため、lock ファイル の 確認 が 重要 です
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。