CVE-2026-44244 in GitPythoninformación

Resumen

por VulDB • 2026-05-17

GitPython es una biblioteca de Python utilizada para interactuar con repositorios Git. Antes de la versión 3.1.49, GitConfigParser.set_value() pasa valores a configparser de Python sin validar la presencia de saltos de línea. La función propia de GitPython, _write(), convierte los saltos de línea incrustados en líneas de continuación indentadas (por ejemplo, \n se convierte en \n\t), pero Git sigue aceptando una sección [core] indentada como un encabezado de sección; por lo tanto, la core.hooksPath inyectada se convierte en una configuración efectiva. Cualquier operación de Git que invoque hooks (commit, merge, checkout) ejecutará scripts desde la ruta controlada por el atacante. Este problema ha sido corregido en la versión 3.1.49.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-05

Divulgación

2026-05-07

Moderación

aceptado

Artículo

VDB-361938

CPE

listo

EPSS

0.00023

KEV

no

Actividades

muy bajo

Sector

Finance, Hostingprovider, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44244
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44244
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44244/

AnteriorVisión De ConjuntoPróximo

Interested in the pricing of exploits?

See the underground prices here!