CVE-2020-26222

Versões do Dependabot-Core de 0.119.0.beta1 a 0.125.1

Existe uma vulnerabilidade de execução remota de código nos módulos dependabot-common e dependabot-go modules quando o nome de um branch de código-fonte contém código Bash malicioso injetável. Por exemplo, se o Dependabot estiver configurado para usar o nome do ramo de origem: “/$({curl,127.0.0.1})”, o Dependabot fará uma solicitação HTTP para a URL: 127.0.0.1 ao clonar o repositório de origem. Isso ocorre porque o Dependabot executa um comando de shell para clonar o repositório via git, e a classe FileFetcher do dependabot-common pode ser usada para clonar o repositório para outros gerenciadores de pacotes.

Para as versões do Dependabot-Core de 0.119.0.beta1 a 0.125.1, atualize para a versão 0.125.1 para resolver o problema.

Como solução alternativa temporária, escape o nome do branch antes de passá-lo para a classe Dependabot::Source, por exemplo, usando shellwords para escapar o nome do branch.