つみかさね

CVE-2026-42215

High(8.8)

CVE-2026-42215 — GitPython コマンド実行

公開日: 2026-05-10データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
GitPythongitpython-developers3.1.30 から 3.1.47 未満

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1GitPython を使用しているか確認
  2. 2GitPython 3.1.47 以降へアップデートを適用
  3. 3外部入力を kwargs に渡している箇所がないか確認し、ホワイトリスト検証を実装

影響対象

GitPython

補足

  • -CVSS 8.8 High — ネットワーク経由で低権限から攻撃可能なため早期対応を推奨します
CVEGitPythonコマンド実行CWE-78

概要

GitPython は危険な Git オプション(--upload-pack--receive-pack)をデフォルトでブロックしていますが、Python の kwargs として upload_packreceive_pack を渡すとこのチェックをバイパスできます。アプリケーションが攻撃者の制御する kwargs を Repo.clone_from()Remote.fetch()Remote.pull()Remote.push() に渡す場合、allow_unsafe_options がデフォルトの False であっても任意のコマンド実行が可能になります。

CVSSベクトル

指標
CVSSスコア8.8
深刻度High
CWECWE-78 (OSコマンドインジェクション)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル

影響を受けるソフトウェア

製品ベンダー影響バージョン
GitPythongitpython-developers3.1.30 から 3.1.47 未満

修正バージョンと回避策

  • GitPython 3.1.47 以降にアップデートしてください
  • 外部入力を Repo.clone_from()Remote.fetch()Remote.pull()Remote.push() の kwargs に直接渡さないようにしてください
  • kwargs のホワイトリスト検証を実装し、upload_packreceive_pack などの危険なパラメータを除外してください

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

GHSA:https://github.com/gitpython-developers/GitPython/security/advisories/GHSA-rpm5-65cw-6hj4
GitHub Release:https://github.com/gitpython-developers/GitPython/releases/tag/3.1.47
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42215
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。