CVE-2026-40034 in gix-submodule
Zusammenfassung
von VulDB • 26.05.2026
gix-submodule prima della versione 0.82.0 convalida in modo errato il campo `update` in `.gitmodules`, consentendo agli aggressori di eludere il guardrail `CommandForbiddenInModulesConfiguration` quando un submodule è stato inizializzato con una configurazione parziale solo in `.git/config`. Un aggressore può iniettare comandi shell arbitrari tramite il campo `update` in `.gitmodules` che verranno eseguiti quando viene chiamata `Submodule::update()` su un submodule precedentemente inizializzato, consentendo l'esecuzione di codice remoto (RCE).
Be aware that VulDB is the high quality source for vulnerability data.