一、 漏洞 CVE-2025-27614 基础信息
漏洞信息
                                        # Gitk允许任意命令执行

## 漏洞概述
Gitk 是一个基于 Tcl/Tk 的 Git 历史浏览器。在 2.41.0 版本及以后,攻击者可以构造一个 Git 仓库,通过社会工程学手段诱使用户执行任意脚本(如 Bourne shell, Perl, Python 等)。

## 影响版本
- 从 Gitk 2.41.0 到 2.49.1 和 2.50 版本都受到影响。

## 漏洞细节
攻击者可以构造一个特殊的 Git 仓库,并诱使用户通过 `gitk filename` 命令访问其中的文件,其中 `filename` 具有特定结构。这会导致用户执行攻击者的任意脚本,并且脚本将以用户的权限运行。

## 影响
漏洞已修复于以下版本:
- 2.43.7
- 2.44.4
- 2.45.4
- 2.46.4
- 2.47.3
- 2.48.2
- 2.49.1
- 2.50
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Gitk allows arbitrary command execution
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Gitk is a Tcl/Tk based Git history browser. Starting with 2.41.0, a Git repository can be crafted in such a way that with some social engineering a user who has cloned the repository can be tricked into running any script (e.g., Bourne shell, Perl, Python, ...) supplied by the attacker by invoking gitk filename, where filename has a particular structure. The script is run with the privileges of the user. This vulnerability is fixed in 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1, and 2.50.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Gitk 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Gitk是Git开源的一个Git自带的图形化工具,用于查看Git仓库的提交历史和分支结构等信息。 Gitk存在操作系统命令注入漏洞,该漏洞源于:克隆该存储库的用户可以通过调用 gitk filename 来诱骗运行攻击者提供的任何脚本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-27614 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-27614 的情报信息