关键信息 漏洞描述 名称: Command Injection 受影响的包: ggit 受影响的版本: 所有版本 引入时间: 2023年6月22日 CVE编号: CVE-2024-21532 CWE编号: CWE-78 首次发现: Snyk 漏洞影响 漏洞类型: 命令注入 描述: ggit的 API允许用户输入指定要获取的分支,然后将这个字符串与一个git命令拼接在一起,该命令随后被传递给不安全的Node.js子进程API。 演示代码 CVSS评分 版本4.0: 6.9 (中等) 版本3.1: 6.9 (中等) 安全性评估 严重性: 中等 威胁情报: 证明概念 补救措施 没有固定版本:ggit 参考链接 GitHub Gist 其他信息 Snyk ID: SNYK-JS-GGIT-5731320 发布日期: 2024年10月7日 披露日期: 2023年6月22日 作者: Liran Tal 联系信息 报告新漏洞: 报告新漏洞 发现错误: 发现错误 公司信息 Snyk Limited 公司注册号: 09677925 注册地址: 高地屋,巴辛斯托克路,斯潘瑟斯伍德,雷丁,伯克郡,RG7 1NT