CVE-2026-42215

Nome do Software Vulnerável e Versões Afetadas GitPython versões 3.1.30 a 3.1.46

Descrição O GitPython não valida adequadamente certos argumentos de palavra-chave (kwargs) do Python, permitindo a evasão das verificações de segurança destinadas a bloquear opções perigosas do Git. Embora a biblioteca bloqueie por padrão opções como --upload-pack e --receive-pack, o uso dos argumentos de palavra-chave no formato com sublinhado upload pack e receive pack ignora essa validação, pois a verificação ocorre antes que os argumentos sejam normalizados em flags de linha de comando. Se uma aplicação passar argumentos de palavra-chave controlados por um invasor para as seguintes funções, isso pode levar à execução de comandos arbitrários, mesmo quando allow unsafe options estiver definido como False:

Recomendações Atualize o GitPython para a versão 3.1.47. Como medida paliativa temporária, evite passar entradas controladas pelo usuário para os parâmetros upload pack e receive pack das funções Repo.clone from(), Remote.fetch(), Remote.pull() e Remote.push().