CVE-2026-42284

Nome do Software Vulnerável e Versões Afetadas GitPython versões anteriores a 3.1.47

Descrição GitPython é uma biblioteca Python usada para interagir com repositórios Git. A função clone() valida a variável multi options como uma lista original, mas então executa shlex.split(" ".join(multi options)). Isso permite que uma string que comece com uma opção segura, como --branch, passe na validação enquanto contém opções inseguras, como --config core.hooksPath=/x. Após a operação de divisão (split), a opção insegura torna-se um token separado que o Git aplica, podendo levar à execução de hooks controlados por um invasor durante o processo de clonagem. Este problema também afeta Submodule.update() via clone multi options. A vulnerabilidade ocorre quando aplicações passam entradas controladas pelo usuário para clone from(), clone() ou Submodule.update().

Recomendações Atualizar para a versão 3.1.47.