gitoxide - Command Injection via Partial .gitmodules Override in gix-submodule 漏洞概述 CVE: CVE-2026-40034 CVSS: 7.3 CWE: CWE-77 Improper Neutralization of Special Elements used in a Command ('Command Injection') 描述: gix-submodule 在 0.82.0 版本之前错误地验证了 中的 字段,允许攻击者绕过 守卫。当子模块已初始化且仅部分配置在 中时,攻击者可以通过 中的 字段注入任意 shell 命令,这些命令将在调用 时执行,从而实现远程代码执行。 影响范围 受影响版本: gitoxide < 0.82.0 修复方案 建议: 升级到 gitoxide 0.82.0 或更高版本以修复此漏洞。 参考链接 GHSA Advisory GitHub Commit Anthropic CVD Finding