CVE-2026-6951

Nome do Software Vulnerável e Versões Afetadas simple-git versões anteriores a 3.36.0

Descrição Um problema de Execução Remota de Código (RCE) existe na biblioteca simple-git para Node.js devido ao gerenciamento incorreto da geração de código e a uma correção incompleta de uma falha anterior. O problema ocorre porque a opção --config não foi adequadamente bloqueada, enquanto a opção -c foi. Se entradas não confiáveis atingirem o argumento options, um invasor remoto pode injetar configurações arbitrárias do git, como habilitar protocol.ext.allow=always e usar uma fonte de clonagem ext::, para executar código arbitrário na máquina hospedeira. Esta exploração não requer autenticação ou interação do usuário.

Recomendações Atualize para a versão 3.36.0 ou posterior.