ANT-2026-6SNS6KMP: RCE when updating a Git submodule of a malicious repository 漏洞概述 漏洞编号: ANT-2026-6SNS6KMP 漏洞类型: 远程代码执行 (RCE) 严重程度: 高 (HIGH) 发现者: Claude, Anthropic's AI assistant 报告时间: 2026-03-29 公开时间: 2026-05-20 影响范围 项目: GitoxideLabs/gitoxide 描述: 更新来自恶意仓库的 Git 子模块会导致远程代码执行。 技术细节 步骤 [A]: 读取 最新到最旧的交叉部分,以便受信任的覆盖部分没有更新键时返回攻击者的 值。 步骤 [B]: 然后禁用守卫,因为 仅检查是否存在一个 部分,而不是它是否提供了在 [A] 中读取的值。这两个检查询问不同的问题,不匹配允许 命令通过受信任。 修复方案 上游修复: https://github.com/GitoxideLabs/gitoxide/security/advisories/GHSA-f26g-jm89-4g65 时间线 2026-03-29: 报告给黑客 2026-05-05: 补丁发布 2026-05-08: 发送给维护者 2026-05-08: 维护者确认 2026-05-20: 公开披露 其他信息 SHA-3-512 哈希: 提交时间: 2026-05-08 09:37 PT 公开时间: 2026-05-20 00:40 PT 验证: 下载 preimage.json