CVE-2026-6951 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Simple Git 存在**代码注入**漏洞。 🔥 **后果**:攻击者可利用 `ext::` 协议实现**远程代码执行 (RCE)**。 ⚠️ 这是 CVE-2022-25912 修复不彻底的遗留问题。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-94 (代码注入)。 📍 **缺陷点**:对 Git 扩展协议 (`protocol.ext.allow=always`) 的输入验证缺失。 💥 导致恶意扩展命令被直接执行。
Q3影响谁?(版本/组件)
📦 **组件**:Simple Git (Node.js 轻量级 Git 接口)。 👤 **开发者**:Steve King。 📉 **受影响版本**:**3.36.0 之前**的所有版本。
Q4黑客能干啥?(权限/数据)
👑 **权限**:攻击者获得**远程代码执行**权限。 💾 **数据**:可完全控制运行环境,窃取数据或篡改代码。 📊 **CVSS**:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (高危)。
Q5利用门槛高吗?(认证/配置)
🚪 **利用门槛**:**低**。 🔑 **认证**:无需认证 (PR:N)。 🖱️ **交互**:无需用户交互 (UI:N)。 ⚙️ **配置**:需启用 `protocol.ext.allow=always` 并使用 `ext::` 克隆源。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:数据中 `pocs` 字段为空,暂无公开现成 Exp。 🔗 **参考**:GitHub 提交记录及 Snyk 报告已披露细节。 🌍 **在野利用**:未知。
Q7怎么自查?(特征/扫描)
🔎 **自查特征**:检查 Node.js 项目中 `simple-git` 依赖版本。 📋 **扫描命令**:`npm list simple-git`。 🚩 **风险点**:版本 < 3.36.0 且配置了 `protocol.ext.allow=always`。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:是。 📅 **发布时间**:2026-04-25。 💊 **方案**:升级至 **Simple Git 3.36.0 或更高版本**。 🔗 参考 commit: 89a2294febed5dfe737c4c735d936bb6018746a8。
Q9没补丁咋办?(临时规避)
🚫 **临时规避**:禁用 `protocol.ext.allow` 或设置为 `never`。 🛑 **限制**:避免使用 `ext::` 作为克隆源。 📝 **注意**:若业务强依赖此功能,需严格审查扩展脚本来源。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急 (Critical)**。 📈 **理由**:CVSS 满分风险,无需认证即可 RCE。 🏃 **行动**:立即升级依赖,修复 CVE-2022-25912 的残留风险。