CVE-2026-45570

Nome do Software Vulnerável e Versões Afetadas go-git versões anteriores à v5

Descrição O transporte SSH no go-git constrói o comando exec remoto envolvendo o caminho do repositório em aspas simples, mas não escapa aspas simples incorporadas nesse caminho. Isso permite que um caminho de repositório contendo uma aspa simples saia da região delimitada e anexe tokens de shell adicionais. Em servidores SSH que avaliam o comando exec por meio de um shell, como aqueles que usam /bin/sh, /bin/bash ou um wrapper ForceCommand que reavalia $SSH ORIGINAL COMMAND, esses tokens são executados no contexto de execução de comandos da conta. Este problema ocorre no lado do servidor SSH, mas o go-git pode servir como um veículo para atingir tais servidores por meio de caminhos de repositório influenciados por atacantes.

Recomendações Atualize para uma versão suportada do go-git (v5 ou posterior).