CVE-2026-28292 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Simple Git 存在安全漏洞,允许攻击者绕过之前的 CVE 修复。 💥 **后果**:可能导致在主机上实现 **完全远程代码执行 (RCE)**。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-78(操作系统命令注入)。 🐛 **缺陷点**:输入处理不当,导致恶意命令注入。
Q3影响谁?(版本/组件)
📦 **组件**:Simple Git (steveukx 开发)。 📅 **版本**:3.15.0 至 3.32.2。
Q4黑客能干啥?(权限/数据)
👑 **权限**:攻击者可获得 **主机级完全控制权**。 💾 **数据**:可读取、修改或删除所有敏感数据。
Q5利用门槛高吗?(认证/配置)
🔓 **认证**:无需认证 (PR:N)。 🌐 **网络**:网络可达即可 (AV:N)。 🚀 **门槛**:低 (AC:L, UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:数据中未提供具体 PoC 文件。 🌍 **在野**:暂无明确在野利用报告,但风险极高。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 Node.js 项目中 `simple-git` 依赖版本。 📊 **扫描**:使用 SCA 工具检测版本是否在 3.15.0-3.32.2 范围内。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:官方已发布修复 (参考 GitHub Advisory)。 ✅ **建议**:立即升级至修复版本。
Q9没补丁咋办?(临时规避)
⚠️ **规避**:若无补丁,需严格过滤用户输入。 🚫 **限制**:避免直接拼接 Git 命令参数,使用白名单机制。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急 (Critical)**。 📢 **行动**:CVSS 评分极高,建议立即修复以防止 RCE。