CVE-2025-59046 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:命令注入漏洞 (Command Injection) 💥 **后果**:攻击者可执行任意系统命令,彻底接管软件运行环境。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-77 (命令注入) 🐛 **缺陷**:未对 **分支名称** 进行输入验证或清理,直接拼接执行。
Q3影响谁?(版本/组件)
📦 **产品**:interactive-git-checkout 👤 **厂商**:ninofiliu (个人开发者) ⚠️ **版本**:**1.1.4 及之前版本** 均受影响。
Q4黑客能干啥?(权限/数据)
👑 **权限**:高 (CVSS 3.1 评分极高) 📂 **数据**:完全可控,可读取/修改任意文件,甚至反弹 Shell。
Q5利用门槛高吗?(认证/配置)
📉 **门槛**:极低 🔓 **条件**:无需认证 (PR:N),无需用户交互 (UI:N),网络可达即可利用。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **Exp**:数据中未提供现成 PoC 或 POC 链接。 🌍 **在野**:暂无公开在野利用报告。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查是否安装 `interactive-git-checkout` 且版本 ≤ 1.1.4。 📝 **特征**:关注软件处理 Git 分支名时的日志或行为。
Q8官方修了吗?(补丁/缓解)
✅ **状态**:已修复。 🔗 **补丁**:参考 GitHub Advisory (GHSA-4wcm-7hjf-6xw5) 及 Commit 8dd832d。
Q9没补丁咋办?(临时规避)
🛡️ **规避**:升级至修复版本。 ⚠️ **临时**:若无法升级,**严禁**输入包含特殊字符 (如 `;`, `|`, `$()`) 的分支名。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急** 💡 **建议**:CVSS 向量显示影响完整性、机密性和可用性,建议 **立即升级**。